Más de 90 aplicaciones de Android con malware bancario encontradas en Play Store con 5.5 millones de instalaciones

Los investigadores de seguridad de Zscaler ThreatLabz han identificado y analizado más de 90 aplicaciones maliciosas de Android, que han sido descargadas más de 5.5 millones de veces de Google Play Store en los últimos meses.

Estas aplicaciones maliciosas entregan malware y adware, incluyendo el troyano bancario Anatsa, que ha visto un aumento reciente en su actividad.

Según la firma de seguridad en la nube, Anatsa (también conocido como “Teabot”) es un malware bancario de Android conocido que estaba siendo distribuido en Google Play Store a través de dos aplicaciones falsas: una aplicación de lector de PDF llamada ‘PDF Reader & File Manager’ y una aplicación de lector de códigos QR llamada ‘QR Reader & File Manager.’ En el momento del análisis de Zscaler, estas dos aplicaciones ya habían acumulado 70,000 instalaciones.

El malware bancario Anatsa utiliza una técnica de dropper, donde la aplicación inicial parece limpia para los usuarios al momento de la instalación.

Utiliza cargas útiles remotas recuperadas de servidores de comando y control (C2) para llevar a cabo más actividades maliciosas.

Una vez instalada, utiliza una variedad de tácticas ambiguas para exfiltrar credenciales bancarias sensibles e información financiera de aplicaciones financieras globales.

“Logra esto a través del uso de técnicas de superposición y accesibilidad, lo que le permite interceptar y recopilar datos de manera discreta,” escribieron Himanshu Sharma y Gajanana Khond de Zscaler en la publicación del blog.

Para lograr esto, el malware Anatsa utiliza reflexión para invocar código de un archivo Dalvik Executable (DEX) cargado, que contiene código que eventualmente es ejecutado por el Android Runtime.

Después de que se descarga la carga útil de la siguiente etapa, Anatsa lleva a cabo una serie de verificaciones para el entorno del dispositivo y el tipo de dispositivo para encontrar entornos de análisis y sandboxes de malware.

Tras la verificación exitosa, procede a descargar la tercera etapa y carga útil final desde el servidor remoto.

El malware Anatsa inyecta datos de manifiesto en bruto no comprimidos en el APK y corrompe los parámetros de compresión en el archivo de manifiesto para obstaculizar el análisis.

Después de que se carga el APK, el malware solicita varios permisos, incluyendo las opciones de SMS y accesibilidad, y oculta la carga útil final DEX dentro de los archivos de activos.

Además, la carga útil desencripta el archivo DEX durante el tiempo de ejecución utilizando una clave estática incrustada dentro del código.

Una vez que el malware infecta exitosamente el dispositivo, comienza la comunicación con el servidor C2 y escanea el dispositivo de la víctima para verificar si hay aplicaciones bancarias instaladas.

Si se encuentra alguna aplicación objetivo, el malware comunica esta información al servidor C2.

En respuesta, el servidor C2 proporciona una página de inicio de sesión falsa para la aplicación bancaria.

Si la víctima es engañada por la página de inicio de sesión falsa e ingresa sus credenciales bancarias, la información se envía de vuelta al servidor C2, que los hackers pueden usar para iniciar sesión en sus aplicaciones bancarias y robar su dinero.

Los actores de amenazas detrás de Anatsa exfiltraron datos al dirigirse a aplicaciones de más de 650 instituciones financieras, principalmente en Europa. Sin embargo, Zscaler informa que el malware también está “apuntando activamente” a aplicaciones bancarias en EE. UU. y Reino Unido, con actores de amenazas ampliando sus objetivos para incluir aplicaciones bancarias en Alemania, España, Finlandia, Corea del Sur y Singapur.

“Las campañas recientes llevadas a cabo por actores de amenazas que despliegan el troyano bancario Anatsa destacan los riesgos que enfrentan los usuarios de Android, en múltiples regiones geográficas, que descargaron estas aplicaciones maliciosas de la tienda Google Play,” concluyeron los investigadores.

Mientras Zscaler no reveló las identidades de las más de 90 aplicaciones infectadas con malware, las dos aplicaciones dropper de Anatsa han sido eliminadas de Google Play Store.

Mientras tanto, si has descargado alguna de las aplicaciones dropper, se recomienda eliminarlas de tu dispositivo Android de inmediato.