Su Google Play sono state trovate oltre 90 app Android dannose con 5,5 milioni di installazioni

Sono state trovate oltre 90 app Android dannose installate più di 5,5 milioni di volte tramite Google Play per diffondere malware e adware, con il trojan bancario Anatsa che ha registrato un recente aumento di attività.

Anatsa (noto anche come "Teabot") è un trojan bancario che prende di mira oltre 650 applicazioni di istituti finanziari in Europa, Stati Uniti, Regno Unito e Asia. Tenta di rubare le credenziali di e-banking delle persone per eseguire transazioni fraudolente.

Nel febbraio 2024, Threat Fabric ha riferito che dalla fine dello scorso anno Anatsa aveva raggiunto almeno 150.000 infezioni tramite Google Play utilizzando varie app esca nella categoria dei software di produttività.

Oggi, Zscaler riferisce che Anatsa è tornata nell'app store ufficiale di Android ed è ora distribuita tramite due applicazioni esca: "Lettore PDF e File Manager" e "Lettore QR e File Manager".

Al momento dell'analisi di Zscaler, le due app avevano già accumulato 70.000 installazioni, dimostrando l'alto rischio che app dropper dannose riuscissero a sfuggire al processo di revisione di Google.

Una cosa che aiuta le app dropper Anatsa a eludere il rilevamento è il meccanismo di caricamento del payload in più fasi che prevede quattro passaggi distinti:

L'app Dropper recupera la configurazione e le stringhe essenziali dal server C2

Il file DEX contenente codice dropper dannoso viene scaricato e attivato sul dispositivo

Viene scaricato il file di configurazione con l'URL del payload Anatsa

Il file DEX recupera e installa il payload del malware (APK), completando l'infezione

Il file DEX esegue anche controlli anti-analisi per garantire che il malware non venga eseguito su sandbox o ambienti di emulazione.

Una volta che Anatsa è attivo e funzionante sul dispositivo appena infetto, carica la configurazione del bot e i risultati della scansione dell'app, quindi scarica le iniezioni che corrispondono alla posizione e al profilo della vittima.

La maggior parte delle app dannose si spacciavano per strumenti, app di personalizzazione, utilità per la fotografia, app per la produttività e per salute e fitness.

Sebbene Anatsa e Coper rappresentino solo il 3% del totale dei download dannosi da Google Play, sono molto più pericolosi degli altri, in grado di commettere frodi sul dispositivo e di rubare informazioni sensibili.

Quando installi nuove app su Google Play, rivedi le autorizzazioni richieste e rifiuta quelle associate ad attività ad alto rischio come il servizio di accessibilità, gli SMS e l'elenco dei contatti.

I ricercatori non hanno rivelato i nomi delle oltre 90 app e se sono state segnalate a Google per la rimozione.

Tuttavia, al momento in cui scriviamo, le due app dropper Anatsa scoperte da Zscaler sono state rimosse da Google Play.