77 aplicativos maliciosos para Android com 19 milhões de downloads atingiram 831 bancos em todo o mundo

O Zscaler relata que 77 aplicativos Android no Google Play com 19 milhões de instalações espalham malware, atingindo 831 bancos e expondo usuários a fraudes e roubos.

Uma nova investigação da equipe ThreatLabz da Zscaler revelou que 77 aplicativos maliciosos com mais de 19 milhões de instalações estavam distribuindo diferentes famílias de malware por meio da Google Play Store oficial.

A pesquisa se concentrou em uma nova onda de infecção do trojan bancário Anatsa (também conhecido como TeaBot ), um programa prejudicial identificado pela primeira vez em 2020 que evoluiu para uma ameaça mais perigosa e sofisticada.

A variante mais recente do Anatsa expandiu drasticamente seu alcance, agora atingindo mais de 831 instituições financeiras no mundo todo, em comparação com a contagem anterior de 650. Os operadores do malware também incluíram novas regiões como Alemanha e Coreia do Sul, além de plataformas populares de criptomoedas.

Muitos dos aplicativos de isca, que foram projetados para parecer leitores de documentos inofensivos, acumularam individualmente mais de 50.000 downloads, demonstrando o amplo alcance da campanha.

Os operadores do malware, supostamente, usam um aplicativo chamado 'Document Reader – File Manager' como isca, que só baixa o payload malicioso Anatsa após a instalação para escapar da revisão de código do Google.

Pesquisas posteriores revelaram que os aplicativos baixados da loja oficial são inicialmente limpos e funcionam como prometido. No entanto, uma vez instalado, o aplicativo baixa discretamente o malware Anatsa disfarçado de atualização necessária. Ao enganar os usuários para que habilitem os Serviços de Acessibilidade do Android, o malware consegue automatizar suas ações maliciosas.

Uma vez assumido o controle, o malware rouba informações financeiras, monitora as teclas digitadas e facilita transações fraudulentas, exibindo páginas de login falsas que imitam os aplicativos bancários ou financeiros do dispositivo do usuário. Quando o usuário tenta fazer login, as informações são enviadas diretamente aos invasores.

O malware também pode escapar da análise de segurança, dificultando a leitura do seu código e verificando se está sendo executado em um ambiente de teste. Isso inclui o uso da descriptografia em tempo de execução do Padrão de Criptografia de Dados (DES) e a realização de verificações de emulação para contornar as ferramentas de segurança. Ele usa um arquivo ZIP corrompido para ocultar um arquivo malicioso crucial, dificultando a detecção por ferramentas de análise padrão.

A investigação da Zscaler descobriu que, embora a maioria dos aplicativos maliciosos contivesse adware, o malware para Android mais frequentemente encontrado foi o Joker , presente em quase um quarto dos aplicativos analisados. Esse tipo de malware é conhecido por sua capacidade de roubar contatos e informações do dispositivo, fazer capturas de tela, fazer chamadas e até mesmo ler e enviar mensagens de texto para usuários que assinam serviços premium sem o consentimento deles.

Um grupo menor de aplicativos continha "maskware", um tipo de malware que funciona como um aplicativo legítimo enquanto realiza atividades maliciosas em segundo plano, como roubo de credenciais e dados pessoais, como localização e mensagens SMS. Uma variante do malware Joker, chamada Harly, também foi encontrada, que evita a detecção durante o processo de análise por ter sua carga maliciosa oculta no código de um aplicativo aparentemente legítimo.

À medida que ameaças como essa continuam a se expandir e se espalhar, elas representam um risco crescente à privacidade pessoal, aos sistemas financeiros e às empresas privadas.

“Os usuários do Android devem sempre verificar as permissões solicitadas pelos aplicativos e garantir que elas estejam alinhadas com a funcionalidade pretendida do aplicativo”, conclui a pesquisa.

“A descoberta do Zscaler Threat Labs é um forte lembrete de que a postura de segurança de lojas de aplicativos oficiais, como a Google Play Store, é amplamente reativa”, disse Mayank Kumar , Engenheiro de IA Fundador da DeepTempo. Ele observou que, quando esses aplicativos são removidos, um grande número de usuários, neste caso 19 milhões, já estão comprometidos.

Kumar explicou que os invasores estão se tornando mais criativos, usando táticas como incorporar seu código profundamente no núcleo de um aplicativo para parecerem inofensivos durante o processo de revisão. Ele citou a variante Harly como exemplo, observando que ela usa camadas de ofuscação para contornar as verificações de segurança.

“Com o advento da IA, ficará ainda mais fácil para os agentes de ameaças projetarem as cargas úteis de vários estágios e a ofuscação avançada necessárias para derrotar os sistemas de detecção baseados em varredura e assinatura que formam o núcleo das defesas das lojas de aplicativos”, acrescentou.