Pesquisadores de segurança da Zscaler ThreatLabz identificaram e analisaram mais de 90 aplicativos maliciosos para Android, que foram baixados mais de 5,5 milhões de vezes na Google Play Store nos últimos meses.
Esses aplicativos entregam malware e adware, incluindo o Trojan bancário Anatsa, que teve um grande aumento na atividade recentemente.
O Anatsa, também conhecido como "Teabot", é um malware bancário conhecido que foi distribuído por meio de dois aplicativos falsos na Google Play Store: um leitor de PDF chamado "PDF Reader & File Manager" e um leitor de QR Code chamado "QR Reader & File Manager".
Até o momento da análise da Zscaler, esses aplicativos haviam acumulado 70 mil instalações. O Anatsa usa uma técnica de dropper, onde o aplicativo parece legítimo para os usuários após a instalação.
Ele utiliza cargas remotas recuperadas de servidores de comando e controle (C2) para realizar atividades maliciosas após a instalação do app.
Como é feito o roubo das informações bancárias?
Uma vez instalado, o malware emprega várias táticas para exfiltrar credenciais bancárias e informações financeiras confidenciais de aplicativos financeiros globais.
Ele utiliza técnicas de sobreposição e acessibilidade para interceptar e coletar dados discretamente. Além disso, o Anatsa invoca código de um arquivo Dalvik Executable (DEX) carregado, que é executado pelo Android Runtime.
Após o download da carga útil do próximo estágio, o Anatsa realiza verificações no ambiente e no tipo de dispositivo para detectar ambientes de análise e sandboxes de malware.
Após a verificação bem-sucedida, ele baixa o terceiro estágio e a carga final do servidor remoto. O malware injeta dados de manifesto não compactados no APK e corrompe os parâmetros de compactação no arquivo de manifesto para dificultar a análise.
Uma vez carregado, ele solicita várias permissões, incluindo SMS e opções de acessibilidade, e esconde a carga DEX final nos arquivos de ativos.
Depois de infectar com sucesso o dispositivo, o malware começa a comunicação com o servidor C2 e verifica se há algum aplicativo bancário instalado.
Se um aplicativo alvo for encontrado, o malware envia essas informações ao servidor C2, que responde com uma página de login falsa para o aplicativo bancário.
Se a vítima inserir suas credenciais, essas informações são enviadas de volta ao servidor C2, permitindo que os hackers acessem os aplicativos bancários e roubem dinheiro.
Regiões que já foram afetadas pelo malware desses apps
Os agentes de ameaças por trás do Anatsa exfiltraram dados de mais de 650 instituições financeiras, principalmente na Europa, mas também estão mirando aplicativos bancários nos EUA, Reino Unido, Alemanha, Espanha, Finlândia, Coreia do Sul e Singapura.
A Zscaler disse que essas campanhas recentes aumentam os riscos enfrentados pelos usuários de dispositivos Android em várias regiões geográficas que baixaram esses aplicativos maliciosos da Google Play Store.
A Zscaler não divulgou a identidade dos mais de 90 aplicativos infectados com malware, mas os dois aplicativos da Anatsa foram removidos da Play Store.
Os pesquisadores de segurança recomendaram que qualquer pessoa que tenha baixado esses aplicativos os exclua imediatamente de seus dispositivos Android.