Milhões de Apps Maliciosos Encontrados na Google Play

Milhões de Apps Maliciosos Encontrados na Google Play

O perigoso Trojan bancário Anatsa está entre os malwares que estão sendo espalhados para usuários de Android através de apps móveis disfarçados nos últimos meses.

Mais de 90 aplicativos móveis maliciosos foram baixados mais de 5,5 milhões de vezes da Google Play Store nos últimos meses. Eles espalham vários tipos de malware, incluindo o Trojan bancário Anatsa, conforme pesquisadores descobriram.

Descoberta dos Apps Maliciosos

Os aplicativos, descobertos por pesquisadores da Zscaler nos últimos meses, agem como disfarces para o malware e incluem uma variedade de leitores de PDF e QR code, bem como gerenciadores de arquivos, editores e tradutores, conforme revelado pela Zscaler em um post no blog publicado ontem.

Anatsa (também conhecido como Teabot) é um Trojan sofisticado que primeiro usa aplicativos dropper de segunda fase que parecem inofensivos para enganar os usuários a instalar o payload. Uma vez instalado, ele usa uma série de táticas evasivas para exfiltrar credenciais bancárias e informações financeiras de aplicativos financeiros globais.

“Ele consegue isso através do uso de técnicas de sobreposição e acessibilidade, permitindo que intercepte e colete dados discretamente”, escreveram Himanshu Sharma e Gajanana Khond da Zscaler no post.

Outros Malwares Encontrados

Embora o Anatsa seja um dos malwares mais “impactantes” atualmente sendo distribuídos na Google Play, outros incluem o Joker fleeceware, o Facestealer, que rouba credenciais, e vários tipos de adware, segundo a Zscaler. Eles também identificaram o Trojan Coper no mix.

Evasão de Detecção de Malware na Google Play

Os atacantes por trás do Anatsa — que pode exfiltrar dados de mais de 650 aplicativos financeiros — anteriormente visavam principalmente usuários de Android na Europa. No entanto, a Zscaler relata que o malware está “ativamente mirando” aplicativos bancários nos EUA e Reino Unido. Os operadores também parecem ter expandido os alvos para instituições financeiras em mais países europeus — incluindo Alemanha, Espanha e Finlândia — além da Coreia do Sul e Singapura, observaram os pesquisadores.

Embora o Google tenha feito um esforço significativo para bloquear aplicativos maliciosos de entrar em sua loja de aplicativos móveis, o Anatsa usa um vetor de ataque que pode escapar dessas proteções, segundo a Zscaler. Ele faz isso através de uma técnica dropper que faz parecer que o aplicativo inicial é limpo na instalação.

“No entanto, uma vez instalado, o aplicativo procede a baixar código malicioso ou um payload em estágios de um servidor de comando e controle (C2), disfarçado como uma atualização de aplicativo inócua”, escreveram os pesquisadores. “Essa abordagem estratégica permite que o malware seja carregado na Google Play Store oficial e escape da detecção.”

Modo de Ataque do Anatsa

Embora os pesquisadores tenham identificado vários aplicativos maliciosos, eles observaram especificamente dois payloads maliciosos do Anatsa distribuídos via aplicativos que imitavam leitores de PDF e QR code. Esses tipos de aplicativos frequentemente atraem um grande número de instalações, o que “ajuda ainda mais a enganar as vítimas, fazendo-as acreditar que esses aplicativos são genuínos”, notaram.

O Anatsa infecta um dispositivo usando payloads remotos recuperados de servidores C2 para realizar atividades maliciosas adicionais. Uma vez instalado, ele lança um aplicativo dropper para baixar o payload de próxima fase.

O Trojan usa outras táticas enganosas em seu vetor de ataque que dificultam a detecção pelos usuários ou caçadores de ameaças, observaram os pesquisadores. Antes de executar, ele verifica o ambiente do dispositivo e o tipo de dispositivo, provavelmente para detectar sandboxes e ambientes de análise; ele só carrega seu payload de terceira fase e final se o caminho estiver livre.

Uma vez carregado, o Anatsa solicita várias permissões, incluindo opções de SMS e acessibilidade, e estabelece comunicação com o servidor C2 para realizar várias atividades, como registrar o dispositivo infectado e recuperar uma lista de aplicativos-alvo para injeções de código.

Para roubar dados financeiros do usuário, o Anatsa baixa uma lista de aplicativos financeiros alvo do C2 e verifica o dispositivo para ver se eles estão instalados. Ele comunica as informações de volta ao C2, que então fornece páginas de login falsas para os aplicativos instalados, enganando os usuários a fornecerem suas credenciais, que são então enviadas de volta ao servidor controlado pelo atacante.

Permanecendo Vigilante Contra Ameaças Cibernéticas Móveis

Apesar dos melhores esforços do Google, tem sido impossível até agora para a empresa manter aplicativos Android maliciosos fora da Google Play Store. À medida que os cibercriminosos continuam a evoluir e criar malwares com táticas cada vez mais evasivas, “torna-se crucial para as organizações implementar medidas de segurança proativas para proteger seus sistemas e informações financeiras sensíveis”, notaram os pesquisadores da Zscaler.

Para ajudar os usuários móveis corporativos a evitar comprometimentos, as organizações devem adotar uma arquitetura de “confiança zero” que se concentre na segurança centrada no usuário e garanta que todos os usuários “sejam autenticados e autorizados antes de acessar qualquer recurso, independentemente de seu dispositivo ou localização”, aconselharam.

Os usuários de Android também podem proteger as redes corporativas evitando baixar aplicativos móveis quando conectados a uma rede empresarial, ou usando discernimento apropriado e estando atentos a atividades suspeitas de aplicativos, mesmo ao baixar aplicativos de lojas de aplicativos confiáveis.

Fonte: https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google