Mais de 300 mil dispositivos Android foram infectados por Cavalo de Troia pela Play Store

Imagem de: Mais de 300 mil dispositivos Android foram infectados por Cavalo de Troia pela Play Store

Um novo relatório de segurança cibernética da ThreatFabric, uma empresa de segurança móvel, revela que mais de 300 mil usuários da Google Play Store foram infectados por malwares do tipo Cavalo de Troia.

Os pesquisadores de segurança da ThreatFabric descobriram no mês passado quatro campanhas diferentes de distribuição de malware que estavam infectando dispositivos com Cavalos de Troia pela Play Store.

De acordo com o relatório, os Cavalos de Troia fazem parte principalmente de quatro famílias de malware: Anatsa, Alien, Hydra e Ermac. Todos eles foram distribuídos entre agosto e novembro de 2021.

Eles foram baixados mais de 300 mil vezes por meio de aplicativos Android maliciosos que se apresentavam como:

  • QR Scanner
  • QR Scanner 2021
  • PDF Document Scanner
  • PDF Document Scanner Free
  • Two Factor Authenticator
  • Protection Guard
  • QR CreatorScanner
  • Master Scanner Live
  • CryptoTracker
  • Gym
  • Fitness Trainer

Durante a pesquisa, os analistas encontraram várias campanhas projetadas especificamente para distribuir o Cavalo de Troia do tipo Anatsa, que rouba informações bancárias.

O Anatsa foi descoberto pela primeira vez em janeiro de 2021. Ele é um Cavalo de Troia Android muito avançado com recursos RAT e semi-ATS.

Este tipo de malware pode realizar ataques clássicos de sobreposição para roubar credenciais, registro de acessibilidade, capturar tudo o que é mostrado na tela e registrar teclas digitadas.

No total, os analistas da ThreatFabric identificaram 6 droppers Anatsa publicados na Play Store desde junho de 2021.

Alguns desses aplicativos infectados se apresentavam como scanners de QR Code, scanners de PDF e aplicativos de criptomoeda.

Um desses aplicativos foi instalado mais de 50.000 vezes, com o total combinado de instalações de todos eles atingindo mais de 100.000 instalações.

"Os atores por trás disso tiveram o cuidado de fazer seus aplicativos parecerem legítimos e úteis. Há um grande número de análises positivas para os aplicativos. O número de instalações e a presença de comentários podem convencer os usuários do Android a instalar o aplicativo. Além disso, esses aplicativos de fato possuem a funcionalidade reivindicada, após a instalação eles operam normalmente e ainda convencem a vítima de sua legitimidade", observaram os pesquisadores.

Além disso, havia instalações de aplicativos infectados com malware Alien com mais de 95.000 instalações e Hydra / Ermac possuindo mais de 15.000 instalações.

O Alien é um malware que rouba informações importantes de dispositivos até mesmo de um processo de autenticação de dois fatores.

Enquanto os outros dois malwares fornecem aos invasores acesso ao dispositivo para roubar as informações bancárias dos usuários.

Os aplicativos que foram infectados por Cavalos de Troia na Play Store são quase imperceptíveis. Segundo os pesquisadores, isso é uma consequência das restrições de permissão impostas pelo Google Play.

Em 13 de novembro de 2021, o Google implementou uma modificações na Play Store que limita o uso dos Serviços de Acessibilidade, que estava sendo usado para automatizar e instalar aplicativos sem o consentimento do usuário.

"Esse policiamento do Google forçou os atores a encontrar maneiras de reduzir significativamente a pegada de aplicativos de dropper. Além dos esforços aprimorados de código de malware, as campanhas de distribuição do Google Play também são mais refinadas do que as campanhas anteriores", explicaram os pesquisadores do ThreatFabric em seu relatório.

"Por exemplo, introduzindo pequenas atualizações de código malicioso cuidadosamente planejadas por um período mais longo no Google Play, bem como ostentando um back-end C2 dropper para corresponder totalmente ao tema do aplicativo conta-gotas (por exemplo, um site de Fitness em funcionamento para um aplicativo focado em exercícios)", acrescentou.

Para se tornarem ainda mais difíceis de serem detectados pelo Google e antivírus, os autores desses aplicativos ativam a instalação manual do cavalo de Troia em um dispositivo infectado.

Eles usam isso para atingir uma região específica do mundo ou em datas posteriores para evitar ainda mais a detecção.

Como resultado, quase todos os trojans tiveram uma pontuação de 0/62 FUD no VirusTotal em algum ponto no tempo, confirmando a dificuldade de detectar este tipo de aplicativo com chances muito pequenas.

"No período de apenas 4 meses, 4 grandes famílias Android foram espalhadas por meio do Google Play, resultando em mais de 300.000 infecções por meio de vários aplicativos de conta-gotas. Uma tendência notável nas novas campanhas de conta-gotas é que os atores estão se concentrando em carregadores com uma pegada maliciosa reduzida no Google Play, aumentando consideravelmente as dificuldades em detectá-los com técnicas de automação e aprendizado de máquina", conclui o relatório.

"A pequena pegada maliciosa é resultado das novas restrições do Google Play (atuais e planejadas) para colocar limitações no uso de privacidade em relação às permissões de aplicativos", acrescentou.

Após a descoberta dos aplicativos maliciosos, a ThreatFabric relatou todos eles ao Google, que respondeu removendo todos os aplicativos infectados da Play Store.

"O sistema de eco do malware do Android banking está evoluindo rapidamente. Esses números que estamos observando agora são o resultado de uma lenta, mas inevitável mudança de foco dos criminosos para o cenário móvel. Com isso em mente, o Google Play Store é a plataforma mais atraente para servir malware", disse Dario Durando, especialista em malware móvel da ThreatFabric, à ZDNet.

"Uma boa regra é sempre verificar as atualizações e sempre ter muito cuidado antes de conceder privilégios de serviços de acessibilidade que serão solicitados pela carga maliciosa, após a instalação de“ atualização ”- e ser cauteloso com aplicativos que solicitam a instalação de software adicional", recomendou Durando aos usuários para evitar infecções.

Via: ThreatFabric, ZD Net