Nell’ultimo periodo, gli utenti Android devono prestare particolare attenzione alle app che installano dal Google Play Store. Un’indagine di BleepingComputer ha rivelato che oltre 90 app Android malevole sono state trovate su Google Play, con 5,5 milioni di installazioni. Tra queste, il trojan bancario Anatsa (noto anche come “Teabot”) ha visto una recente ripresa delle attività, con almeno 150.000 infezioni tramite Google Play.
Anatsa Banking Trojan
Anatsa è un trojan bancario che prende di mira oltre 650 applicazioni di istituti finanziari in Europa, Stati Uniti, Regno Unito e Asia. Il suo obiettivo è rubare le credenziali di e-banking delle persone per eseguire transazioni fraudolente.
Nel febbraio 2024, Threat Fabric ha riferito che Anatsa aveva raggiunto almeno 150.000 infezioni tramite Google Play utilizzando varie app decoy nella categoria software di produttività. Oggi, Zscaler riporta che Anatsa è tornato su Google Play e viene distribuito tramite due app decoy: “PDF Reader & File Manager” e “QR Reader & File Manager”.
Al momento dell’analisi di Zscaler, le due app avevano già registrato 70.000 installazioni, dimostrando il rischio elevato di app dannose che riescono a eludere il processo di revisione di Google.
Modalità di evasione della rilevazione di Anatsa
Una delle ragioni per cui le app dropper di Anatsa riescono a eludere la rilevazione è il meccanismo di caricamento del payload multi-stage, che prevede quattro passaggi distinti:
- L’app dropper recupera la configurazione e le stringhe essenziali dal server C2
- Il file DEX contenente il codice dropper dannoso viene scaricato e attivato sul dispositivo
- Viene scaricato un file di configurazione con l’URL del payload Anatsa
- Il file DEX recupera e installa il payload malware (APK), completando l’infezione
Il file DEX esegue anche controlli anti-analisi per garantire che il malware non venga eseguito in ambienti sandbox o di emulazione.
Una volta che Anatsa è attivo sul dispositivo infetto, carica la configurazione del bot e i risultati dello scan dell’app, quindi scarica le iniezioni che corrispondono alla posizione e al profilo della vittima.
Altre minacce su Google Play
Zscaler ha anche scoperto oltre 90 applicazioni malevole su Google Play, che sono state installate collettivamente 5,5 milioni di volte. La maggior parte di queste app si spacciava per strumenti, app di personalizzazione, utilità di fotografia, app di produttività e app di salute e fitness.
Le cinque famiglie di malware dominanti sono Joker, Facestealer, Anatsa, Coper e vari adware. Sebbene Anatsa e Coper rappresentino solo il 3% del totale delle download malware da Google Play, sono molto più pericolosi degli altri, in grado di eseguire frodi sul dispositivo e rubare informazioni sensibili.
Consigli per la sicurezza di Google Play
Quando si installano nuove app su Google Play, è importante esaminare le autorizzazioni richieste e rifiutare quelle associate ad attività ad alto rischio, come Servizio di accessibilità, SMS e elenco dei contatti.
I ricercatori non hanno divulgato i nomi delle oltre 90 app e se siano state segnalate a Google per la rimozione. Tuttavia, al momento della stesura di questo articolo, le due app dropper di Anatsa scoperte da Zscaler sono state rimosse da Google Play.
Conclusione
La sicurezza degli utenti Android è fondamentale, e la consapevolezza è la chiave per proteggersi dalle minacce. Prestando attenzione alle autorizzazioni richieste dalle app e mantenendo aggiornato il sistema operativo, gli utenti possono ridurre il rischio di infezioni da malware. Inoltre, è essenziale installare un software antivirus affidabile e mantenere aggiornati i database delle definizioni per un’ulteriore protezione.
Articolo:
Riferimenti: BleepingComputer. (2024, May 28). Over 90 malicious Android apps with 5.5M installs found on Google Play. BleepingComputer.com. https://www.bleepingcomputer.com/news/security/over-90-malicious-android-apps-with-55m-installs-found-on-google-play/
