Mais de 300.000 Dispositivos Android Infectados por Trojans Bancários Maliciosos

Mais de 300.000 usuários da Google Play Store foram infectados com trojans bancários Android, de acordo com um novo relatório da ThreatFabric, uma empresa de segurança móvel.

No mês passado, pesquisadores de segurança da ThreatFabric descobriram quatro diferentes campanhas de dropper de malware distribuindo trojans bancários na Google Play Store. Estes são principalmente parte de quatro famílias de malware — Anatsa, Alien, Hydra e Ermac, que foram distribuídos entre agosto e novembro de 2021 e baixados mais de 300.000 vezes.

Esses aplicativos Android maliciosos se passaram por QR Scanner, QR Scanner 2021, PDF Document Scanner, PDF Document Scanner Free, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker e Gym and Fitness Trainer.

Durante a pesquisa dedicada às técnicas de distribuição de diferentes famílias de malware, os analistas da ThreatFabric encontraram numerosos droppers localizados na Google Play, projetados para distribuir especificamente o trojan bancário Anatsa.

Anatsa foi descoberto pela ThreatFabric em janeiro de 2021. É um trojan bancário Android bastante avançado com capacidades de RAT e semi-ATS. Ele também pode realizar ataques de sobreposição clássicos para roubar credenciais, registro de acessibilidade (capturando tudo que é exibido na tela do usuário) e keylogging.

O primeiro dropper foi descoberto em junho de 2021 disfarçado como um aplicativo para escanear documentos. No total, os analistas da ThreatFabric conseguiram identificar 6 droppers Anatsa publicados na Google Play desde junho de 2021.

Esses aplicativos se passaram por scanners de código QR, scanners de PDF e aplicativos de criptomoeda. Um aplicativo dropper foi instalado mais de 50.000 vezes, com o total combinado de instalações de todos os droppers ultrapassando 100.000 instalações.

“Os atores por trás disso se preocuparam em fazer seus aplicativos parecerem legítimos e úteis. Há um grande número de avaliações positivas para os aplicativos. O número de instalações e a presença de avaliações podem convencer os usuários Android a instalar o aplicativo. Além disso, esses aplicativos realmente possuem a funcionalidade reivindicada, após a instalação eles operam normalmente e convencem ainda mais a vítima de sua legitimidade,” observaram os pesquisadores.

Além disso, houve instalações de droppers das famílias de malware Alien (95.000+) e Hydra/Ermac (15.000+) também. Enquanto o Alien pode roubar informações importantes até mesmo de um processo de autenticação de dois fatores, os outros dois fornecem aos atacantes acesso ao dispositivo necessário para roubar as informações bancárias dos usuários.

Os aplicativos dropper têm uma pegada maliciosa muito pequena, que é uma consequência (direta) das restrições de permissão impostas pela Google Play.

Um bom exemplo é a modificação introduzida em 13 de novembro de 2021 pela Google, que limita o uso dos Serviços de Acessibilidade, que foram abusados por campanhas de dropper anteriores para automatizar e instalar aplicativos sem o consentimento do usuário.

“Essa fiscalização pela Google forçou os atores a encontrar maneiras de reduzir significativamente a pegada dos aplicativos dropper. Além dos esforços de melhoria do código de malware, as campanhas de distribuição da Google Play também são mais refinadas do que as campanhas anteriores,” explicaram os pesquisadores da ThreatFabric em seu relatório.

“Por exemplo, ao introduzir atualizações de código malicioso cuidadosamente planejadas ao longo de um período mais longo na Google Play, bem como apresentando um backend C2 de dropper para combinar totalmente com o tema do aplicativo dropper (por exemplo, um site de Fitness funcional para um aplicativo focado em exercícios).”

Para se tornarem ainda mais difíceis de detectar pela Google e por fornecedores de antivírus, os atores por trás desses aplicativos dropper ativam manualmente a instalação do trojan bancário em um dispositivo infectado para direcionar uma região específica do mundo ou em datas posteriores para evitar ainda mais a detecção. Isso torna a detecção automatizada uma estratégia muito mais difícil de adotar por qualquer organização.

Como resultado, quase todos os trojans têm ou tiveram uma pontuação FUD de 0/62 no VirusTotal em algum momento, confirmando a dificuldade de detectar aplicativos dropper com uma pegada mínima.

“Em um período de apenas 4 meses, 4 grandes famílias Android foram espalhadas via Google Play, resultando em mais de 300.000 infecções através de múltiplos aplicativos dropper. Uma tendência notável nas novas campanhas de dropper é que os atores estão se concentrando em carregadores com uma pegada maliciosa reduzida na Google Play, aumentando consideravelmente as dificuldades em detectá-los com técnicas de automação e aprendizado de máquina,” conclui o relatório.

“A pequena pegada maliciosa é resultado das novas restrições da Google Play (atuais e planejadas) para impor limitações ao uso de privacidade em relação às permissões de aplicativos.”

Após a descoberta dos aplicativos maliciosos, a ThreatFabric relatou todos eles à Google, que agora foram removidos da Play Store, conforme confirmado por um porta-voz da Google ao ZDNet.

“O ecossistema de malware bancário Android está evoluindo rapidamente. Esses números que estamos observando agora são o resultado de uma mudança lenta, mas inevitável, de foco dos criminosos em direção ao cenário móvel. Com isso em mente, a Google Play Store é a plataforma mais atraente para usar para servir malware,” disse Dario Durando, especialista em malware móvel da ThreatFabric, ao ZDNet.

“Uma boa regra é sempre verificar atualizações e sempre ter muito cuidado antes de conceder privilégios de serviços de acessibilidade – que serão solicitados pela carga maliciosa, após a instalação da ‘atualização’ – e ter cuidado com aplicativos que pedem para instalar software adicional,” recomendou Durando aos usuários para evitar infecções.