Aplicații instalate din Google Play Store, infectate cu un troian bancar

Un număr de aplicații Android au reușit să ocolească filtrele Google Play Protect, ajungând în magazinul Play Store „înzestrate” cu o funcție care descărca ulterior un troian bancar, malware-ul vizând deturnarea cardurilor bancare înrolate pe dispozitive și fondurile utilizatorilor.

Potrivit unui purtător de cuvânt Google „Toate aceste aplicații rău intenționate identificate au fost eliminate de pe Google Play, iar dezvoltatorii au fost excluși de pe platformă. De asemenea, sistemul Google Play Protect protejează utilizatorii prin eliminarea automată a aplicațiilor despre care se știe că conțin acest malware pe dispozitivele Android cu Servicii Google Play.”

Altfel spus, odată ce a fost identificat, troianul de Android numit Anatsa ar trebui să fie detectabil în toate aplicațiile compromise ce ar putea exista încă în catalogul Play Store. Totuși, Google nu dezvăluie numărul exact de aplicații infectate.

Specialiștii companiei de securitate ThreatFabric au urmărit campaniile care distribuite troianul Anatsa prin intermediul magazinului Google Play, estimând aproximativ 30.000 de instalări. Campania vizează 600 de aplicații financiare legitime din întreaga lume, țintind interceptarea datelor de autentificare folosite de clienți și iniția tranzacții în numele acestora.

Potrivit ThreatFabric, „Autorii pot avea mai multe aplicații publicate simultan în Play Store, sub diferite conturi de dezvoltator. Totuși, doar una acționează ca vector pentru atac, în timp ce cealaltă este o clonă cu funcțiile malware lăsate inative, care poate fi activată în cazul în care prima este descoperită și eliminată. O astfel de tactică îi ajută pe actori să deruleze campanii foarte lungi, minimizând timpul necesar pentru promovarea unei alte aplicații cu rol de cărăuș și relua campania de atacuri.”

Odată ce un dispozitiv este infectat, troianul poate colecta informații sensibile, cum ar fi date de login, detalii despre cardul de credit, sold și informații de plată. Aceste date sunt folosite de atacatori pentru a crea tranzacții folosind contul bancar al victimei. Deoarece aceste tranzacții folosesc aceleași dispozitive pe care le folosesc de obicei clienții băncilor vizați, este greu pentru sistemele antifraudă să detecteze tranzacțiile ilegale.