Meer dan 90 schadelijke Android-apps gevonden op Google Play

Volgens BGR zijn deze kwaadaardige apps afkomstig van een malware genaamd Anatsa (ook bekend als TeaBot), een bijzonder gevaarlijke banking-malware die bij installatie onschadelijk lijkt, maar vervolgens schadelijke code of command-and-control (C2)-servers downloadt die vermomd zijn als app-updates. Hierdoor kan de malware detectie in de Android App Store vermijden.

Met andere woorden, de apps zijn in eerste instantie niet schadelijk. Ze misleiden mensen door ze te laten geloven dat ze veilig zijn voordat ze schadelijke content downloaden, vermomd als een legitieme app-update. Zodra de malware een apparaat succesvol infecteert en begint te communiceren met de C2-server, scant deze het apparaat van de gebruiker op geïnstalleerde bank-apps.

Als er informatie wordt gevonden, wordt deze naar de C2-server gestuurd, die vervolgens een nep-inlogpagina voor de gedetecteerde apps terugstuurt. Als een gebruiker in deze val trapt en zijn of haar inloggegevens invoert, worden die gegevens teruggestuurd naar de server. De hacker kan deze vervolgens gebruiken om in te loggen op de bank-app van het slachtoffer en geld te stelen.

De twee apps die Zscaler besmet vond met Anatsa waren PDF Reader & File Manager en QR Reader & File Manager. Onderzoekers zeggen dat Anatsa zich voornamelijk richt op apps van financiële instellingen in het Verenigd Koninkrijk, met slachtoffers in de VS, Duitsland, Spanje, Finland, Zuid-Korea en Singapore. Deskundigen adviseren gebruikers echter om zich bewust te zijn van de gevaren, waar ze ook wonen.

Hoewel de onderzoekers de identiteit van de geïnfecteerde Android-apps niet in de Google Play Store hebben bekendgemaakt, zijn beide apps in het bovenstaande voorbeeld niet langer beschikbaar. Mogelijk heeft Zscaler Google op andere apps gewezen.