Peste 300.000 utilizatori de Android au instalat troiani bancari direct din Google Play Store

Se mai întâmplă ca aplicaţii de Android infectate să treacă de filtrele automate implementate în Google Play Store, dar de data aceasta lucrurile se pare că au scăpat de sub control.

De regulă, aplicațiile infectate sunt descoperite rapid şi eliminate din catalogul Play Store. Mascarea activităţilor clandestine pentru a evita detecţia pe termen lung este dificil de făcut, iar infiltrarea mai multor aplicaţii infectate în magazinul oficial de aplicaţii Android reprezintă o performanţă în sine.

Din păcate, norocul pare că a fost de partea autorilor malware care, potrivit experților în securitate de la compania ThreatFabric, au reușit să propage patru tipuri diferite de malware, deghizate ca și aplicații foarte căutate precum scanere de documente, cititoare de coduri QR, monitoare pentru fitness și, desigur, aplicații care au legătură cu criptomonedele. Cele din urmă sunt oricum țintă preferată pentru autorii malware, care nu ratează nicio ocazie de a goli conturile deținute de investitori amatori.

Pentru a nu ridica prea repede suspiciuni, toate aplicațiile incriminate oferă o anumită funcționalitate legitimă, scopul atacatorilor fiind ascunderea pentru cât mai mult timp a adevăratelor intenții, evitând comentariile negative și raportările care ar declanșa alarme în Play Store.

Cea mai prolifică dintre cele patru forme de malware este Anatsa, infiltrată deja pe cel puțin 200.000 dispozitive cu Android. Descris de experții în securitate cibernetică drept un troian bancar ”avansat”, malware-ul poate intercepta nume de utilizator și parole, respectiv folosi permisiunile de accesibilitate acordate de utilizatorii neatenți pentru a înregistra tot ce se petrece pe ecranul telefonului. Simultan, modulul keylogger înregistrează toate informațiile tastate de victimă, înlesnind „munca” atacatorilor de la celălalt capăt, care deturnează cu promptitudine orice fonduri păstrate în conturi bancare sau portofele de criptomonede.

Activ încă din luna ianuarie, malware-ul Anatsa pare că și-a crescut masiv activitatea începând cu luna iunie, cercetătorii identificând cel puțin șase aplicații infectate folosite pentru diseminarea acestuia. Cea mai populară este un scanner pentru coduri QR (50.000 instalări), numărul mare de comentarii pozitive lăsate în pagina dedicată din magazinul Google Play păcălind utilizatorii care se bazau pe acest „indicator”. Alternativ, autorii malware se folosesc de link-uri inserate în mesaje email și reclame plătite pentru a încuraja potențialele victime să instaleze aplicația.

În urma instalării inițiale, primul indiciu care ar fi trebuit să dea de bănuit era afișarea unei notificări, forțând utilizatorii să instaleze o „actualizare” suplimentară pentru a putea folosi în continuare aplicația. Doar că așa zisa actualizare nu provenea dintr-un magazin legitim de aplicații Android, ci de pe un server controlat de atacatori, folosit pentru a livra încărcătura malware.

Un alt malware foarte prolific este Alien, un troian bancar capabil să intercepteze codurile de autentificare în doi pași, primite prin SMS pe telefoanele victimelor. Instalat pe 95.000 de dispozitive, malware-ul era folosit de hackeri pentru accesarea conturilor bancare și golirea oricăror fonduri deținute de victime.