BGRによると、これらの悪質なアプリケーションは、Anatsa(別名TeaBot)と呼ばれるマルウェアに由来するもので、特に危険なバンキングマルウェアである。Anatsaは、インストール直後は無害に見えるが、その後、アプリのアップデートを装った悪意のあるコードやコマンド&コントロール(C2)サーバーをダウンロードする。これにより、このマルウェアはAndroidアプリストアでの検出を回避できる。
Anatsaマルウェアに感染したAndroidアプリは、約550万回ダウンロードされたことが記録されている。
つまり、これらのアプリケーションは最初は無害に見える。正規のアプリアップデートを装った悪意のあるコンテンツをダウンロードさせる前に、多くの人を騙して安全だと信じ込ませるのだ。マルウェアがデバイスに感染し、C2サーバーとの通信を開始すると、ユーザーのデバイスにインストールされている銀行関連アプリケーションをスキャンする。
何らかの情報が検出された場合、その情報はC2サーバーに送信され、C2サーバーは検出されたアプリケーションに偽のログインページを返信します。ユーザーがこの手口に騙されてログイン情報を入力すると、その情報がサーバーに送信され、ハッカーはその情報を使って被害者の銀行アプリケーションにログインし、金銭を盗むことができます。
Zscalerは、悪意のあるAndroidアプリのうち2つを具体的に名指しした。
ZscalerがAnatsaに感染していると検出したアプリケーションには、PDF Reader & File ManagerとQR Reader & File Managerの2つが含まれています。研究者によると、Anatsaは主に英国の金融機関のアプリケーションを標的にしていますが、米国、ドイツ、 スペイン、フィンランド、韓国、シンガポールにも被害者がいます。しかし、専門家は居住地に関わらず、ユーザーに対し危険性を警戒するよう呼びかけています。
研究者らはGoogle Playストアでマルウェアに感染したAndroidアプリの正体を明かさなかったが、上記の例で挙げられたアプリはどちらも既に削除されている。Zscalerが他のアプリについてもGoogleに警告した可能性もある。
出典: https://thanhnien.vn/hon-90-ung-dung-android-doc-hai-บน-google-play-duoc-phat-hien-185240530061227143.htm
