Oltre 90 app Android con malware bancario trovate su Play Store con 5,5 milioni di installazioni

I ricercatori di sicurezza di Zscaler ThreatLabz hanno identificato e analizzato più di 90 app Android malevole, che sono state scaricate oltre 5,5 milioni di volte dal Google Play Store negli ultimi mesi.

Queste app malevole distribuiscono malware e adware, incluso il Trojan bancario Anatsa, che ha visto un recente aumento di attività.

Secondo la società di sicurezza cloud, Anatsa (noto anche come “Teabot”) è un malware bancario Android noto che veniva distribuito sul Google Play Store tramite due app false: un’app per la lettura di PDF chiamata ‘PDF Reader & File Manager’ e un’app per la lettura di codici QR chiamata ‘QR Reader & File Manager.’ Al momento dell’analisi di Zscaler, queste due app avevano già accumulato 70.000 installazioni.

Il malware bancario Anatsa utilizza una tecnica di dropper, in cui l’applicazione iniziale appare pulita per gli utenti al momento dell’installazione.

Utilizza payload remoti recuperati da server di comando e controllo (C2) per eseguire ulteriori attività malevole.

Una volta installato, utilizza una serie di tattiche ambigue per esfiltrare credenziali bancarie sensibili e informazioni finanziarie da applicazioni finanziarie globali.

“Raggiunge questo attraverso l’uso di tecniche di overlay e accessibilità, consentendogli di intercettare e raccogliere dati in modo discreto,” hanno scritto Himanshu Sharma e Gajanana Khond di Zscaler nel post del blog.

Per raggiungere questo obiettivo, il malware Anatsa utilizza la riflessione per invocare codice da un file Dalvik Executable (DEX) caricato, che contiene codice che viene infine eseguito dal Runtime Android.

Dopo che il payload della fase successiva è stato scaricato, Anatsa esegue una serie di controlli per l’ambiente del dispositivo e il tipo di dispositivo per trovare ambienti di analisi e sandbox per malware.

Dopo una verifica riuscita, procede a scaricare il terzo stadio e il payload finale dal server remoto.

Il malware Anatsa inietta dati di manifest non compressi e grezzi nell’APK e corrompe i parametri di compressione nel file di manifest per ostacolare l’analisi.

Dopo che l’APK è stato caricato, il malware richiede varie autorizzazioni, comprese le opzioni SMS e di accessibilità, e nasconde il payload finale DEX all’interno dei file di asset.

Inoltre, il payload decripta il file DEX durante il runtime utilizzando una chiave statica incorporata nel codice.

Una volta che il malware infetta con successo il dispositivo, inizia la comunicazione con il server C2 e scansiona il dispositivo della vittima per verificare se sono installate app bancarie.

Se viene trovata un’app target, il malware comunica queste informazioni al server C2.

In risposta, il server C2 fornisce una falsa pagina di accesso per l’app bancaria.

Se la vittima viene ingannata dalla falsa pagina di accesso e inserisce le proprie credenziali bancarie, le informazioni vengono inviate nuovamente al server C2, che gli hacker possono utilizzare per accedere alle loro app bancarie e rubare i loro soldi.

Gli attori della minaccia dietro Anatsa hanno esfiltrato dati prendendo di mira applicazioni di oltre 650 istituzioni finanziarie, principalmente in Europa. Tuttavia, Zscaler riporta che il malware sta anche “prendendo di mira attivamente” app bancarie negli Stati Uniti e nel Regno Unito, con gli attori della minaccia che espandono i loro obiettivi per includere app bancarie in Germania, Spagna, Finlandia, Corea del Sud e Singapore.

“Le recenti campagne condotte dagli attori della minaccia che distribuiscono il Trojan bancario Anatsa evidenziano i rischi affrontati dagli utenti Android, in più regioni geografiche, che hanno scaricato queste applicazioni malevole dal Google Play Store,” hanno concluso i ricercatori.

Sebbene Zscaler non abbia rivelato le identità delle oltre 90 app infettate da malware, le due app dropper Anatsa sono state rimosse dal Google Play Store.

Nel frattempo, se hai scaricato una delle app dropper, si consiglia di eliminarle immediatamente dal tuo dispositivo Android.