Ερευνητές ανακάλυψαν πάνω από 90 κακόβουλες εφαρμογές Android με περισσότερες από 5,5 εκατομμύρια λήψεις, που εξαπλώθηκαν μέσω του Google Play για τη διανομή κακόβουλου λογισμικού και adware. Επιπλέον, παρατηρήθηκε αυξημένη διάδοση του Anatsa banking trojan.
Anatsa banking trojan
Το Anatsa (γνωστό και ως “Teabot”) είναι ένα banking trojan που στοχεύει πάνω από 650 εφαρμογές χρηματοπιστωτικών ιδρυμάτων στην Ευρώπη, τις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ασία. Στόχος του είναι η κλοπή e-banking credentials για την πρόσβαση σε λογαριασμούς και την πραγματοποίηση συναλλαγών.
Τον Φεβρουάριο του 2024, η Threat Fabric ανέφερε ότι το Anatsa είχε πετύχει τουλάχιστον 150.000 μολύνσεις μέσω του Google Play, από τα τέλη του περασμένου έτους. Παραπλανούσε τα θύματα μέσω ψεύτικων εφαρμογών στην κατηγορία λογισμικού παραγωγικότητας.
Δείτε επίσης: Το Android banking trojan Antidot εμφανίζεται σαν ενημέρωση του Google Play
Τώρα, η Zscaler παρατήρησε νέες κακόβουλες εφαρμογές Anatsa στο Google Play: «PDF Reader & File Manager» και «QR Reader & File Manager». Τώρα, έχουν αφαιρεθεί από το κατάστημα εφαρμογών.
Την εποχή που η εταιρεία ανέλυε τα ευρήματα, οι δύο εφαρμογές είχαν ήδη συγκεντρώσει 70.000 εγκαταστάσεις.
Ένα πράγμα που βοηθά τις εφαρμογές Anatsa να αποφύγουν τον εντοπισμό είναι ο μηχανισμός φόρτωσης payload πολλαπλών σταδίων, που περιλαμβάνει τέσσερα διαφορετικά βήματα:
- Η εφαρμογή Dropper ανακτά τη διαμόρφωση και τις βασικές συμβολοσειρές από τον διακομιστή C2
- Το αρχείο DEX, που περιέχει κακόβουλο το Dropper, κατεβαίνει και ενεργοποιείται στη συσκευή
- Γίνεται λήψη του αρχείου διαμόρφωσης με το Anatsa payload URL
- Το αρχείο DEX ανακτά και εγκαθιστά το malware payload (APK), ολοκληρώνοντας τη μόλυνση
Το αρχείο DEX εκτελεί ελέγχους κατά της ανάλυσης, για να διασφαλίσει ότι το κακόβουλο λογισμικό δεν θα εκτελεστεί σε sandbox ή emulating environments.
Δείτε επίσης: 2023: Η Google απέκλεισε 2.28 εκατ. επικίνδυνες εφαρμογές από το Google Play
Μόλις το Anatsa malware εκτελεστεί στη συσκευή, ξεκινά τη δραστηριότητά του.
Google Play: 90 κακόβουλες εφαρμογές με εκατομμύρια λήψεις
Η Zscaler αναφέρει ότι τους τελευταίους δύο μήνες, ανακάλυψε επίσης περισσότερες από 90 κακόβουλες εφαρμογές στο Google Play, οι οποίες εγκαταστάθηκαν 5,5 εκατομμύρια φορές.
Οι περισσότερες κακόβουλες εφαρμογές μιμούνται εργαλεία, εφαρμογές εξατομίκευσης, βοηθητικά προγράμματα φωτογραφίας, productivity apps και εφαρμογές υγείας και φυσικής κατάστασης.
Δεδομένου ότι κακόβουλες εφαρμογές περνούν και στα επίσημα καταστήματα εφαρμογών, οι χρήστες πρέπει να επιβεβαιώνουν πάντα την αυθεντικότητα μια εφαρμογής πριν την εγκατάσταση. Αυτό μπορεί να γίνει ελέγχοντας τον προγραμματιστή της εφαρμογής και τα σχόλια των χρηστών.
Δείτε επίσης: Google Play: VPN apps μετέτρεπαν συσκευές Android σε proxies
Επιπλέον, οι χρήστες μπορούν να επισκέπτονται τον επίσημο ιστότοπο μιας υπηρεσίας και να βρίσκουν εκεί το link για τη λήψη της εφαρμογής από το κατάστημα εφαρμογών.
Επίσης, είναι σημαντικό να γίνεται έλεγχος των αδειών που ζητούν οι εφαρμογές, ακόμα και αν βρίσκονται στο Google Play. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζονται για τη λειτουργία της, είναι καλύτερο να αποφύγετε την εγκατάστασή της.
Απαραίτητη είναι και η χρήση αξιόπιστων λογισμικών ασφαλείας και η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Τέλος, οι χρήστες πρέπει να αποφεύγουν την κοινοποίηση των προσωπικών τους πληροφοριών σε αναξιόπιστες πηγές.
Πηγή: www.bleepingcomputer.com
){kind=link}