I ricercatori di Zscaler hanno trovato sul Play Store una vecchia conoscenza. In alcune delle 77 app infette, scaricate complessivamente oltre 19 milioni di volte, era presente Anatsa, noto trojan bancario per Android. Altri malware individuati sono Joker e Harly, insieme a maskware e adware. Google ha eliminato tutte le app.
Malware in 77 app sul Play Store
Anatsa è stato scoperto per la prima volta nel 2020. È un trojan bancario che può rubare le credenziali di login, registrare i tasti premuti (keylogging) ed effettuare transazioni fraudolente. L’ultima versione individuata dagli esperti di Zscaler può intercettare le credenziali di oltre 150 app bancarie o per criptovalute di oltre 831 istituzioni finanziarie nel mondo.
Il trucco per aggirare i controlli del Play Store è piuttosto semplice. I cybercriminali pubblicano app innocue, come un semplice visualizzatore di documenti. Dopo l’installazione viene scaricato in background un presunto aggiornamento. Si tratta in realtà del payload che installa Anatsa sui dispositivi Android.
Per i recenti attacchi è stata implementata una tecnica anti-analisi. Ogni stringa viene decifrata a runtime tramite chiave DES. Inoltre, il nome del pacchetto viene frequentemente cambiato. Il payload DEX viene infine nascosto in un file JSON, successivamente cancellato.
Anatsa richiede i permessi di accessibilità, come molti trojan bancari. Scarica quindi il file di configurazione dal server remoto, insieme alle pagine fasulle di login che vengono mostrate quando l’utente avvia l’app bancaria legittima.
La maggioranza delle 77 app infette contengono adware (66,2%). Le altre nascondono Anatsa, Harly e Joker. Quest’ultimo ha funzionalità da spyware, in quanto può leggere/inviare messaggi, catturare screenshot, effettuare telefonate e rubare l’elenco dei contatti.
Google ha rimosso tutte le app. Gli utenti devono mantenere attiva la funzionalità Play Protect che rileva e blocca le app infette (anche quelle installate tramite sideloading). Per evitare rischi è meglio scaricare solo app da noti sviluppatori e prestare attenzione alle richieste dei permessi.
