In questi giorni, il team di Threat Intelligence ha individuato cinque applicazioni Android infettate dal pericoloso trojan bancario Anatsa, destinate alla gestione di documenti e file, rivelatesi essere una minaccia significativa per la sicurezza degli utenti del Play Store di Google.
Contrariamente alle campagne malevole precedenti, gli attaccanti hanno optato per celare il malware in applicazioni di utilità apparente, come tre lettori di PDF e due gestori di file, anziché in giochi. Le applicazioni in questione, denominate Phone Cleaner, PDF Viewer, PDF Reader, Phone Cleaner: File Explorer, e PDF Reader: File Manager, sono state rivelate contenere il malware Anatsa. Queste hanno accumulato oltre 130.000 installazioni in varie nazioni europee, tra cui Regno Unito, Spagna, Slovacchia, Slovenia e Repubblica Ceca, dimostrando la gravità della loro diffusione.
Queste cinque applicazioni seguono un approccio ormai noto ma efficace per eludere le misure di sicurezza del Play Store. Inizialmente presentate senza malware, vengono aggiornate successivamente con il codice dannoso. Queste app richiedono, sin dall’inizio, l’accesso a servizi di accessibilità, una caratteristica di Android pensata per aiutare gli utenti con disabilità ma che, in questo contesto, viene sfruttata per monitorare le attività degli utenti e intercettare dati sensibili, come le credenziali bancarie online.
Il furto di tali informazioni consente agli hacker di accedere ai conti correnti delle vittime in breve tempo, sottolineando l’estrema pericolosità di queste applicazioni. Gli esperti hanno inoltre trovato un interessante riferimento alla One UI, interfaccia degli smartphone Samsung, all’interno del codice delle app, suggerendo una possibile iniziale focalizzazione su questi dispositivi, benché poi l’attacco sia stato esteso a tutti i dispositivi Android.
Come proteggersi
La pronta segnalazione di Threat Intelligence ha portato Google a rimuovere le app infette dal Play Store, riducendo il rischio di ulteriori download. Tuttavia, la minaccia persiste per coloro che hanno precedentemente installato tali app. Sebbene il sistema Play Protect di Android tenti di eliminare automaticamente le applicazioni dannose dai dispositivi, non è infallibile. È dunque cruciale per gli utenti verificare personalmente la presenza di queste app sui propri dispositivi.
Un’ulteriore misura preventiva consiste nel prestare attenzione alle autorizzazioni richieste dalle app al momento dell’installazione. L’accesso a servizi non strettamente necessari per il funzionamento dell’app, come i servizi di accessibilità per un lettore di PDF o un file manager, dovrebbe essere considerato un campanello d’allarme.