Plus de 90 applications Android avec des logiciels malveillants bancaires trouvées sur le Play Store avec 5,5 millions d'installations

Des chercheurs en sécurité de Zscaler ThreatLabz ont identifié et analysé plus de 90 applications Android malveillantes, qui ont été téléchargées plus de 5,5 millions de fois depuis le Google Play Store au cours des derniers mois.

Ces applications malveillantes diffusent des logiciels malveillants et des publicités, y compris le cheval de Troie bancaire Anatsa, qui a connu une récente augmentation d’activité.

Selon la société de sécurité cloud, Anatsa (également connu sous le nom de “Teabot”) est un logiciel malveillant bancaire Android connu qui était distribué sur le Google Play Store à travers deux fausses applications : une application de lecteur PDF appelée ‘PDF Reader & File Manager’ et une application de lecteur de code QR appelée ‘QR Reader & File Manager.’ Au moment de l’analyse de Zscaler, ces deux applications avaient déjà accumulé 70 000 installations.

Le logiciel malveillant bancaire Anatsa utilise une technique de dropper, où l’application initiale apparaît propre aux utilisateurs lors de l’installation.

Il utilise des charges utiles distantes récupérées à partir de serveurs de commande et de contrôle (C2) pour effectuer d’autres activités malveillantes.

Une fois installé, il utilise une gamme de tactiques ambiguës pour exfiltrer des informations sensibles sur les identifiants bancaires et les informations financières provenant d’applications financières mondiales.

“Il y parvient grâce à l’utilisation de techniques de superposition et d’accessibilité, lui permettant d’intercepter et de collecter des données discrètement,” ont écrit Himanshu Sharma et Gajanana Khond de Zscaler dans le billet de blog.

Pour y parvenir, le logiciel malveillant Anatsa utilise la réflexion pour invoquer du code à partir d’un fichier Dalvik Executable (DEX) chargé, qui contient du code qui est finalement exécuté par l’Android Runtime.

Après le téléchargement de la charge utile de la prochaine étape, Anatsa effectue une série de vérifications pour l’environnement de l’appareil et le type d’appareil afin de trouver des environnements d’analyse et des bacs à sable de logiciels malveillants.

Après une vérification réussie, il procède au téléchargement de la troisième étape et de la charge utile finale depuis le serveur distant.

Le logiciel malveillant Anatsa injecte des données de manifeste brutes non compressées dans l’APK et corrompt les paramètres de compression dans le fichier manifeste pour entraver l’analyse.

Après le chargement de l’APK, le logiciel malveillant demande diverses autorisations, y compris les options SMS et d’accessibilité, et dissimule la charge utile finale DEX dans les fichiers d’actifs.

De plus, la charge utile déchiffre le fichier DEX pendant l’exécution à l’aide d’une clé statique intégrée dans le code.

Une fois que le logiciel malveillant infecte avec succès l’appareil, il commence à communiquer avec le serveur C2 et scanne l’appareil de la victime pour vérifier si des applications bancaires sont installées.

Si une application cible est trouvée, le logiciel malveillant communique cette information au serveur C2.

En réponse, le serveur C2 fournit une fausse page de connexion pour l’application bancaire.

Si la victime est trompée par la fausse page de connexion et entre ses identifiants bancaires, les informations sont renvoyées au serveur C2, que les hackers peuvent utiliser pour se connecter à leurs applications bancaires et voler leur argent.

Les acteurs de la menace derrière Anatsa ont exfiltré des données en ciblant des applications de plus de 650 institutions financières, principalement en Europe. Cependant, Zscaler rapporte que le logiciel malveillant cible également activement des applications bancaires aux États-Unis et au Royaume-Uni, les acteurs de la menace élargissant leurs cibles pour inclure des applications bancaires en Allemagne, en Espagne, en Finlande, en Corée du Sud et à Singapour.

“Les campagnes récentes menées par des acteurs de la menace déployant le cheval de Troie bancaire Anatsa soulignent les risques auxquels sont confrontés les utilisateurs Android, dans plusieurs régions géographiques, qui ont téléchargé ces applications malveillantes depuis le Google Play Store,” ont conclu les chercheurs.

Bien que Zscaler n’ait pas divulgué les identités des plus de 90 applications infectées par des logiciels malveillants, les deux applications dropper Anatsa ont été supprimées du Google Play Store.

En attendant, si vous avez téléchargé l’une des applications dropper, il est recommandé de les supprimer immédiatement de votre appareil Android.