W Google Play znaleziono ponad 90 złośliwych aplikacji na Androida

Według BGR , te złośliwe aplikacje pochodzą od złośliwego oprogramowania o nazwie Anatsa (znanego również jako TeaBot), szczególnie niebezpiecznego oprogramowania bankowego, które wydaje się nieszkodliwe, gdy użytkownicy je po raz pierwszy instalują, ale następnie pobiera złośliwy kod lub serwery poleceń i kontroli (C2) podszywające się pod aktualizacje aplikacji. Dzięki temu złośliwe oprogramowanie unika wykrycia w sklepach z aplikacjami na Androida.

Innymi słowy, aplikacje te początkowo nie są złośliwe. Oszukują użytkowników, sprawiając, że wierzą w bezpieczeństwo, zanim pobiorą szkodliwą zawartość podszywającą się pod legalną aktualizację aplikacji. Gdy złośliwe oprogramowanie skutecznie zainfekuje urządzenie i rozpocznie komunikację z serwerem C2, skanuje urządzenie użytkownika w poszukiwaniu zainstalowanych aplikacji bankowych.

Jeśli znajdzie jakiekolwiek informacje, wysyła je do serwera C2, który następnie odsyła fałszywą stronę logowania dla wykrytych aplikacji. Jeśli użytkownik da się nabrać na tę sztuczkę i wprowadzi swoje dane logowania, informacje zostaną przesłane z powrotem na serwer, z którego haker może następnie skorzystać, aby zalogować się do aplikacji bankowej ofiary i ukraść jej pieniądze.

Dwie aplikacje, które Zscaler wykrył jako zainfekowane Anatsą, to PDF Reader & File Manager oraz QR Reader & File Manager. Badacze twierdzą, że Anatsa atakuje głównie aplikacje instytucji finansowych w Wielkiej Brytanii, a ofiary znaleziono również w Stanach Zjednoczonych, Niemczech, Hiszpanii, Finlandii, Korei Południowej i Singapurze. Eksperci radzą jednak użytkownikom, aby zachowali ostrożność, niezależnie od miejsca zamieszkania.

Chociaż badacze nie ujawnili tożsamości zainfekowanych aplikacji na Androida w sklepie Google Play, obie aplikacje udostępnione w powyższym przykładzie nie są już dostępne. Być może Zscaler powiadomił Google o innych aplikacjach.