Oltre 300.000 Dispositivi Android Infettati Da Trojan Bancari Maligni

Più di 300.000 utenti del Google Play Store sono stati infettati da trojan bancari Android, secondo un nuovo rapporto di ThreatFabric, un’azienda di sicurezza mobile.

Il mese scorso, i ricercatori di sicurezza di ThreatFabric hanno scoperto quattro diverse campagne di malware dropper che distribuiscono trojan bancari sul Google Play Store. Questi fanno principalmente parte di quattro famiglie di malware — Anatsa, Alien, Hydra ed Ermac, che sono stati distribuiti tra agosto e novembre 2021 e scaricati oltre 300.000 volte.

Queste app Android malevole si spacciavano per QR Scanner, QR Scanner 2021, PDF Document Scanner, PDF Document Scanner Free, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker e Gym and Fitness Trainer.

Durante la ricerca dedicata alle tecniche di distribuzione delle diverse famiglie di malware, gli analisti di ThreatFabric hanno trovato numerosi dropper situati nel Google Play, progettati per distribuire specificamente il trojan bancario Anatsa.

Anatsa è stato scoperto da ThreatFabric nel gennaio 2021. È un trojan bancario Android piuttosto avanzato con capacità RAT e semi-ATS. Può anche eseguire attacchi di overlay classici per rubare credenziali, registrazione dell’accessibilità (catturando tutto ciò che viene mostrato sullo schermo dell’utente) e keylogging.

Il primo dropper è stato scoperto nel giugno 2021 mascherato da un’app per la scansione di documenti. In totale, gli analisti di ThreatFabric sono stati in grado di identificare 6 dropper Anatsa pubblicati su Google Play dal giugno 2021.

Queste app si spacciavano per scanner di codici QR, scanner PDF e app di criptovaluta. Un’app dropper è stata installata più di 50.000 volte, con il totale combinato delle installazioni di tutti i dropper che ha raggiunto oltre 100.000 installazioni.

“Gli attori dietro di essa si sono presi cura di far sembrare le loro app legittime e utili. Ci sono un gran numero di recensioni positive per le app. Il numero di installazioni e la presenza di recensioni possono convincere gli utenti Android a installare l’app. Inoltre, queste app possiedono effettivamente la funzionalità dichiarata, dopo l’installazione funzionano normalmente e convincono ulteriormente la vittima della loro legittimità,” hanno osservato i ricercatori.

Inoltre, ci sono state installazioni di dropper anche dalle famiglie di malware Alien (95.000+) e Hydra/Ermac (15.000+). Mentre Alien può rubare informazioni importanti anche da un processo di autenticazione a due fattori, le altre due forniscono agli attaccanti l’accesso al dispositivo necessario per rubare le informazioni bancarie degli utenti.

Le app dropper hanno una piccola impronta malevola, che è una conseguenza (diretta) delle restrizioni sui permessi imposte da Google Play.

Un buon esempio è la modifica introdotta il 13 novembre 2021 da Google, che limita l’uso dei Servizi di Accessibilità, abusati da precedenti campagne di dropper per automatizzare e installare app senza il consenso dell’utente.

“Questa sorveglianza da parte di Google ha costretto gli attori a trovare modi per ridurre significativamente l’impronta delle app dropper. Oltre ai miglioramenti nel codice del malware, le campagne di distribuzione su Google Play sono anche più raffinate rispetto alle campagne precedenti,” hanno spiegato i ricercatori di ThreatFabric nel loro rapporto.

“Ad esempio, introducendo aggiornamenti di codice malevolo pianificati con attenzione nel tempo su Google Play, così come presentando un backend C2 del dropper per abbinarsi completamente al tema dell’app dropper (ad esempio un sito web Fitness funzionante per un’app focalizzata sull’allenamento).”

Per rendersi ancora più difficili da rilevare da parte di Google e dei fornitori di antivirus, gli attori dietro queste app dropper attivano manualmente l’installazione del trojan bancario su un dispositivo infetto per mirare a una specifica regione del mondo o a date successive per eludere ulteriormente il rilevamento. Questo rende il rilevamento automatico una strategia molto più difficile da adottare da qualsiasi organizzazione.

Di conseguenza, quasi tutti i trojan hanno o avevano un punteggio FUD di 0/62 su VirusTotal in un certo momento, confermando la difficoltà di rilevare le app dropper con un’impronta minima.

“Nel giro di soli 4 mesi, 4 grandi famiglie Android sono state diffuse tramite Google Play, risultando in oltre 300.000 infezioni tramite molteplici app dropper. Una tendenza evidente nelle nuove campagne di dropper è che gli attori si concentrano su loader con un’impronta malevola ridotta su Google Play, aumentando notevolmente le difficoltà nel rilevarle con tecniche di automazione e apprendimento automatico,” conclude il rapporto.

“L’impronta malevola ridotta è il risultato delle nuove restrizioni di Google Play (attuali e pianificate) per porre limiti all’uso della privacy riguardante i permessi delle app.”

Dopo la scoperta delle app malevole, ThreatFabric ha segnalato tutte a Google, che ora sono state rimosse dal Play Store come confermato da un portavoce di Google a ZDNet.

“L’ecosistema del malware bancario Android si sta evolvendo rapidamente. Questi numeri che stiamo osservando ora sono il risultato di un lento ma inevitabile spostamento di attenzione da parte dei criminali verso il panorama mobile. Tenendo presente questo, il Google Play Store è la piattaforma più attraente da utilizzare per servire malware,” ha dichiarato Dario Durando, specialista in malware mobile di ThreatFabric, a ZDNet.

“Una buona regola è sempre controllare gli aggiornamenti e prestare sempre molta attenzione prima di concedere privilegi ai servizi di accessibilità – che saranno richiesti dal payload malevolo, dopo l’installazione dell’“aggiornamento” – e diffidare delle applicazioni che chiedono di installare software aggiuntivo,” ha raccomandato Durando agli utenti per evitare infezioni.