Aplicaciones maliciosas de Android con 5,5 millones de instalaciones encontradas en Google Play
Se encontraron más de 90 aplicaciones maliciosas de Android instaladas más de 5,5 millones de veces a través de Google Play para distribuir malware y adware, y el troyano bancario Anatsa experimentó un aumento reciente en su actividad.
Anatsa (también conocido como "Teabot") es un troyano bancario que apunta a más de 650 aplicaciones de instituciones financieras en Europa, EE.UU., Reino Unido y Asia. Intenta robar las credenciales de banca electrónica de las personas para realizar transacciones fraudulentas.
En febrero de 2024, Threat Fabric informó que desde finales del año pasado, Anatsa había logrado al menos 150.000 infecciones a través de Google Play utilizando varias aplicaciones señuelo en la categoría de software de productividad.
Zscaler informa que Anatsa ha regresado a la tienda de aplicaciones oficial de Android y ahora se distribuye a través de dos aplicaciones señuelo: "PDF Reader & File Manager" y "QR Reader & File Manager".
En el momento del análisis de Zscaler, las dos aplicaciones ya habían acumulado 70.000 instalaciones, lo que demuestra el alto riesgo de que las aplicaciones dropper maliciosas pasen desapercibidas en el proceso de revisión de Google.
Una cosa que ayuda a las aplicaciones de Anatsa a evadir la detección es el mecanismo de carga de carga útil de varias etapas que implica cuatro pasos distintos:
- La aplicación Dropper recupera la configuración y las cadenas esenciales del servidor C2
- El archivo DEX que contiene un código dropper malicioso se descarga y activa en el dispositivo
- Se descarga el archivo de configuración con la URL de carga útil de Anatsa
- El archivo DEX recupera e instala la carga útil de malware (APK), completando la infección.
- El archivo DEX también realiza comprobaciones antianálisis para garantizar que el malware no se ejecute en entornos Sandbox o de emulación.
Una vez que Anatsa está en funcionamiento en el dispositivo recién infectado, carga la configuración del bot y los resultados del escaneo de la aplicación y luego descarga las inyecciones que coinciden con la ubicación y el perfil de la víctima.
Otras amenazas de Google Play
Zscaler informa que durante los últimos meses también descubrió más de 90 aplicaciones maliciosas en Google Play, que en conjunto se instalaron 5,5 millones de veces. La mayoría de las aplicaciones maliciosas se hacían pasar por herramientas, aplicaciones de personalización, utilidades de fotografía, productividad y aplicaciones de salud y fitness.
Las cinco familias de malware que dominan la escena son Joker, Facestealer, Anatsa, Coper y varios programas publicitarios.
Aunque Anatsa y Coper solo representan el 3% del total de descargas maliciosas de Google Play, son mucho más peligrosos que los demás, capaces de realizar fraudes en el dispositivo y robar información confidencial.
Al instalar nuevas aplicaciones en Google Play, revise los permisos solicitados y rechace aquellos asociados con actividades de alto riesgo como el Servicio de Accesibilidad, SMS y lista de contactos.
Los investigadores no revelaron los nombres de las más de 90 aplicaciones ni si habían sido reportadas a Google para su eliminación.
Sin embargo, al momento de escribir esto, las dos aplicaciones de Anatsa descubiertas por Zscaler han sido eliminadas de Google Play.
Fuente: BCBC
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!