Oltre 90 applicazioni Android malevole sono state scoperte su Google Play, raggiungendo oltre 5,5 milioni di installazioni e distribuendo malware e adware. Recentemente, si è registrato un aumento dell’attività del trojan bancario Anatsa.
Anatsa, noto anche come “Teabot”, è un trojan bancario che prende di mira oltre 650 applicazioni di istituti finanziari in Europa, USA, Regno Unito e Asia. Il suo obiettivo principale è rubare le credenziali bancarie degli utenti per effettuare transazioni fraudolente.
Nel febbraio 2024, Threat Fabric ha riportato che, dalla fine dello scorso anno, Anatsa ha infettato almeno 150.000 dispositivi tramite Google Play utilizzando diverse app di copertura nella categoria dei software di produttività.
Anatsa: il trojan bancario in aumento
Oggi, Zscaler ha segnalato che Anatsa è tornato sullo store ufficiale di Android, distribuito attraverso due nuove app esca: ‘PDF Reader & File Manager’ e ‘QR Reader & File Manager’. Durante l’analisi di Zscaler, queste due applicazioni avevano già raggiunto 70.000 installazioni, dimostrando l’alto rischio di app malevole che sfuggono al processo di revisione di Google.
Uno degli aspetti che consente alle app esca di Anatsa di evitare la rilevazione è il meccanismo di caricamento del payload in più fasi, che coinvolge quattro passaggi distinti:
- L’app esca recupera la configurazione e le stringhe essenziali dal server C2.
- Viene scaricato e attivato un file DEX contenente il codice malevolo.
- Viene scaricato un file di configurazione con l’URL del payload di Anatsa.
- Il file DEX scarica e installa il payload malware (APK), completando l’infezione.
Il file DEX esegue anche controlli anti-analisi per assicurarsi che il malware non venga eseguito in ambienti di sandbox o emulazione.
Altre minacce su Google Play
Negli ultimi mesi, Zscaler ha scoperto oltre 90 applicazioni malevole su Google Play, che sono state collettivamente installate 5,5 milioni di volte. La maggior parte di queste app si spacciava per strumenti, app di personalizzazione, utility fotografiche, produttività e app di salute e fitness.
Le cinque famiglie di malware più diffuse sono Joker, Facestealer, Anatsa, Coper e vari adware. Sebbene Anatsa e Coper rappresentino solo il 3% del totale dei download malevoli da Google Play, sono molto più pericolosi degli altri, capaci di eseguire frodi direttamente sul dispositivo e di rubare informazioni sensibili.
Quando si installano nuove app su Google Play, è importante rivedere le autorizzazioni richieste e rifiutare quelle associate ad attività ad alto rischio, come il Servizio di Accessibilità, SMS e la lista dei contatti.
I ricercatori non hanno divulgato i nomi delle oltre 90 app e non hanno confermato se siano state segnalate a Google per la rimozione. Tuttavia, al momento della stesura di questo articolo, le due app esca di Anatsa scoperte da Zscaler sono state rimosse da Google Play.