Mais de 90 Aplicativos Android Com Malware Bancário Encontrados na Play Store Com 5,5M de Instalações

Pesquisadores de segurança da Zscaler ThreatLabz identificaram e analisaram mais de 90 aplicativos Android maliciosos, que foram baixados mais de 5,5 milhões de vezes na Google Play Store nos últimos meses.

Esses aplicativos maliciosos entregam malware e adware, incluindo o Trojan bancário Anatsa, que teve um recente aumento na atividade.

De acordo com a empresa de segurança em nuvem, Anatsa (também conhecido como “Teabot”) é um malware bancário Android conhecido que estava sendo distribuído na Google Play Store através de dois aplicativos falsos: um aplicativo leitor de PDF chamado ‘PDF Reader & File Manager’ e um aplicativo leitor de QR code chamado ‘QR Reader & File Manager.’ No momento da análise da Zscaler, esses dois aplicativos já haviam acumulado 70.000 instalações.

O malware bancário Anatsa utiliza uma técnica de dropper, onde o aplicativo inicial parece limpo para os usuários após a instalação.

Ele utiliza cargas úteis remotas recuperadas de servidores de comando e controle (C2) para realizar atividades maliciosas adicionais.

Uma vez instalado, ele usa uma variedade de táticas ambíguas para exfiltrar credenciais bancárias sensíveis e informações financeiras de aplicativos financeiros globais.

“Ele consegue isso através do uso de técnicas de sobreposição e acessibilidade, permitindo que intercepte e colete dados discretamente,” escreveram Himanshu Sharma e Gajanana Khond da Zscaler no post do blog.

Para alcançar isso, o malware Anatsa utiliza reflexão para invocar código de um arquivo Dalvik Executable (DEX) carregado, que contém código que é eventualmente executado pelo Android Runtime.

Após o download da carga útil da próxima fase, o Anatsa realiza uma série de verificações para o ambiente do dispositivo e tipo de dispositivo para encontrar ambientes de análise e sandboxes de malware.

Após a verificação bem-sucedida, ele prossegue para baixar a terceira fase e a carga útil final do servidor remoto.

O malware Anatsa injeta dados de manifesto brutos não compactados no APK e corrompe os parâmetros de compressão no arquivo de manifesto para dificultar a análise.

Depois que o APK é carregado, o malware solicita várias permissões, incluindo opções de SMS e acessibilidade, e oculta a carga útil final DEX dentro dos arquivos de ativos.

Além disso, a carga útil descriptografa o arquivo DEX durante a execução usando uma chave estática embutida no código.

Uma vez que o malware infecta com sucesso o dispositivo, ele começa a comunicação com o servidor C2 e escaneia o dispositivo da vítima para verificar se algum aplicativo bancário está instalado.

Se algum aplicativo alvo for encontrado, o malware comunica essa informação ao servidor C2.

Em resposta, o servidor C2 fornece uma página de login falsa para o aplicativo bancário.

Se a vítima for enganada pela página de login falsa e inserir suas credenciais bancárias, as informações são enviadas de volta ao servidor C2, que os hackers podem usar para fazer login em seus aplicativos bancários e roubar seu dinheiro.

Os atores de ameaça por trás do Anatsa exfiltraram dados visando aplicativos de mais de 650 instituições financeiras, principalmente na Europa. No entanto, a Zscaler relata que o malware também está “alvo ativo” de aplicativos bancários nos EUA e no Reino Unido, com os atores de ameaça expandindo seus alvos para incluir aplicativos bancários na Alemanha, Espanha, Finlândia, Coreia do Sul e Cingapura.

“As campanhas recentes conduzidas por atores de ameaça que implantam o trojan bancário Anatsa destacam os riscos enfrentados pelos usuários Android, em várias regiões geográficas, que baixaram esses aplicativos maliciosos da Google Play Store,” concluíram os pesquisadores.

Embora a Zscaler não tenha divulgado as identidades dos 90+ aplicativos infectados com malware, os dois aplicativos dropper Anatsa foram removidos da Google Play Store.

Enquanto isso, se você baixou algum dos aplicativos dropper, é recomendado excluí-los imediatamente do seu dispositivo Android.