Home Sociedad Más de 90 aplicaciones maliciosas con un total de 5,5 millones de...

Más de 90 aplicaciones maliciosas con un total de 5,5 millones de descargas, acechan en Google Play

En los últimos meses se han descargado más de 90 aplicaciones móviles maliciosas más de 5,5 millones de veces desde la tienda Google Play. Los investigadores descubrieron que propagan varios programas maliciosos, incluido el troyano bancario Anatsa.

Las aplicaciones, descubiertas por investigadores de Zscaler en los últimos meses, actúan como señuelos para el malware e incluyen una variedad de lectores de códigos PDF y QR, así como administradores de archivos, editores y traductores, reveló Zscaler en una publicación de blog publicada ayer. .

Anatsa (también conocido como Teabot) es un troyano sofisticado que primero utiliza aplicaciones cuentagotas de segunda etapa que parecen benignas para los usuarios para engañarlos e instalar la carga útil. Una vez instalado, utiliza una variedad de tácticas evasivas para extraer credenciales bancarias confidenciales e información financiera de aplicaciones financieras globales.

Si bien Anatsa es uno de los malwares más “impactantes” que se distribuyen actualmente en Google Play, otros incluyen el software de lana Joker, el Facestealer para robar credenciales y varios tipos de adware, según Zscaler. También han visto al troyano Coper en la mezcla.

Además, el análisis de Zscaler muestra que las aplicaciones más utilizadas para ocultar malware en la tienda de aplicaciones móviles son herramientas como las que esconde Anatsa, seguidas de aplicaciones de personalización y fotografía.

Los atacantes detrás de Anatsa, que puede extraer datos de más de 650 aplicaciones financieras, anteriormente apuntaban principalmente a usuarios de Android en Europa; sin embargo, Zscaler informa que el malware también está “apuntando activamente” a aplicaciones bancarias en EE. UU. y el Reino Unido. Los operadores también parecen haber ampliado sus objetivos a instituciones financieras en más países europeos (incluidos Alemania, España y Finlandia), así como a Corea del Sur y Singapur, señalaron los investigadores.

Aunque Google ha hecho un esfuerzo significativo para impedir que aplicaciones maliciosas ingresen a su tienda de aplicaciones móviles, Anatsa utiliza un vector de ataque que puede burlar estas protecciones, según Zscaler. Lo hace mediante una técnica de cuentagotas que hace que parezca que la aplicación inicial está limpia tras la instalación.

Aunque los investigadores identificaron una serie de aplicaciones maliciosas, observaron específicamente dos cargas útiles maliciosas de Anatsa distribuidas a través de aplicaciones que se hacían pasar por aplicaciones de lectura de códigos QR y PDF. Este tipo de aplicaciones a menudo atraen una gran cantidad de instalaciones, lo que a su vez “ayuda aún más a engañar a las víctimas haciéndoles creer que estas aplicaciones son genuinas”, señalaron.

Anatsa infecta un dispositivo mediante el uso de cargas útiles remotas recuperadas de servidores de comando y control (C2) para llevar a cabo más actividades maliciosas. Una vez instalado, inicia una aplicación de cuentagotas para descargar la carga útil de la siguiente etapa.

 

El troyano utiliza otras variantes engañosas en su vector de ataque que dificultan la detección por parte de los usuarios o cazadores de amenazas, señalaron los investigadores. Antes de ejecutarse, verifica el entorno y el tipo de dispositivo, lo más probable es que detecte entornos de pruebas y entornos de análisis; Luego solo carga su tercera etapa y su carga útil final si no hay moros en la costa.

Una vez cargado, Anatsa solicita varios permisos, incluidos SMS y opciones de accesibilidad, y establece comunicación con el servidor C2 para realizar diversas actividades, como registrar el dispositivo infectado y recuperar una lista de aplicaciones específicas para inyecciones de código.

Para robar datos financieros del usuario, Anatsa descarga una lista de aplicaciones financieras del C2 y verifica el dispositivo para ver si están instaladas. Comunica la información al C2, que luego proporciona páginas de inicio de sesión falsas para las aplicaciones instaladas para engañar a los usuarios para que proporcionen sus credenciales, que luego se envían de regreso al servidor controlado por el atacante.

A pesar de los mejores esfuerzos de Google, hasta ahora ha sido imposible para la empresa mantener las aplicaciones maliciosas de Android fuera de la tienda Google Play.