90+ приложений Android с банковским вредоносным ПО обнаружены в Play Store с 5,5 млн установок

Исследователи безопасности из Zscaler ThreatLabz выявили и проанализировали более 90 вредоносных приложений для Android, которые были загружены более 5,5 миллионов раз из Google Play Store за последние несколько месяцев.

Эти вредоносные приложения распространяют вредоносное ПО и рекламное ПО, включая банковский троян Anatsa, который в последнее время активизировался.

Согласно данным облачной компании безопасности, Anatsa (также известный как “Teabot”) — это известное банковское вредоносное ПО для Android, которое распространялось в Google Play Store через два поддельных приложения: приложение для чтения PDF под названием «PDF Reader & File Manager» и приложение для чтения QR-кодов под названием «QR Reader & File Manager». На момент анализа Zscaler эти два приложения уже накопили 70 000 установок.

Вредоносное ПО Anatsa использует технику дроппера, при которой начальное приложение выглядит чистым для пользователей после установки.

Оно использует удаленные полезные нагрузки, полученные с серверов управления и контроля (C2), для выполнения дальнейшей вредоносной активности.

После установки оно использует ряд неясных тактик для эксфильтрации конфиденциальных банковских учетных данных и финансовой информации из глобальных финансовых приложений.

«Это достигается с помощью наложения и техник доступности, позволяя ему перехватывать и собирать данные незаметно», — написали в блоге сотрудники Zscaler Химаншу Шарма и Гаджанана Хонд.

Для достижения этого вредоносное ПО Anatsa использует рефлексию для вызова кода из загруженного файла Dalvik Executable (DEX), который содержит код, который в конечном итоге выполняется средой выполнения Android.

После загрузки полезной нагрузки следующего этапа Anatsa выполняет серию проверок для определения окружения устройства и типа устройства, чтобы найти среды анализа и песочницы для вредоносного ПО.

После успешной проверки оно продолжает загружать третью стадию и финальную полезную нагрузку с удаленного сервера.

Вредоносное ПО Anatsa внедряет несжатые сырые данные манифеста в APK и искажает параметры сжатия в файле манифеста, чтобы затруднить анализ.

После загрузки APK вредоносное ПО запрашивает различные разрешения, включая SMS и параметры доступности, и скрывает финальную полезную нагрузку DEX в файлах ресурсов.

Далее полезная нагрузка расшифровывает файл DEX во время выполнения, используя статический ключ, встроенный в код.

Как только вредоносное ПО успешно инфицирует устройство, оно начинает связь с сервером C2 и сканирует устройство жертвы, чтобы проверить, установлены ли какие-либо банковские приложения.

Если обнаружено целевое приложение, вредоносное ПО передает эту информацию на сервер C2.

В ответ сервер C2 предоставляет поддельную страницу входа для банковского приложения.

Если жертва обманута поддельной страницей входа и вводит свои банковские учетные данные, информация отправляется обратно на сервер C2, который хакеры могут использовать для входа в свои банковские приложения и кражи денег.

Угроза, стоящая за Anatsa, эксфильтровала данные, нацеливаясь на приложения более 650 финансовых учреждений, в основном в Европе. Однако Zscaler сообщает, что вредоносное ПО также «активно нацеливается» на банковские приложения в США и Великобритании, при этом злоумышленники расширяют свои цели, включая банковские приложения в Германии, Испании, Финляндии, Южной Корее и Сингапуре.

«Недавние кампании, проводимые злоумышленниками, использующими банковский троян Anatsa, подчеркивают риски, с которыми сталкиваются пользователи Android в нескольких географических регионах, которые загрузили эти вредоносные приложения из магазина Google Play», — заключили исследователи.

Хотя Zscaler не раскрыл идентичности более 90 приложений, зараженных вредоносным ПО, два приложения-дроппера Anatsa были удалены из Google Play Store.

Тем временем, если вы загрузили любое из приложений-дропперов, рекомендуется немедленно удалить их с вашего устройства Android.