Cercetătorii în securitate IT de la ThreadLabz, echipa companiei Zscaler, semnalează o nouă escaladare a amenințărilor pe Android, cu impact direct asupra ecosistemului Google.
Monitorizând constant Magazinul Google Play și fluxul de aplicații distribuite prin acesta, specialiștii au documentat evoluția accelerată a familiei de malware Anatsa, cunoscută și ca Teabot, ale cărei prime mostre au fost depistate în 2020.
De la un troian bancar clasic, capabil să fure acreditări, să facă keylogging și să declanșeze tranzacții frauduloase, Anatsa a ajuns acum să poată ataca 831 de instituții financiare din întreaga lume, inclusiv ținte noi din Germania și Coreea de Sud, alături de platforme de criptomonede.
Potrivit Zscaler, schimbarea majoră nu privește doar capacitățile, ci și modul de livrare a codului rău intenționat în ecosistemul Android controlat de Google. În locul încărcării dinamice din rețea a payload-urilor executabile Dalvik (DEX), actorii au trecut la instalarea directă a codului Anatsa, reducând vizibilitatea și complicând detecția.
În același timp, numeroase aplicații de tip „stealth” care transportă Anatsa au depășit pragul de 50.000 de instalări fiecare în Magazinul Google Play. Dacă adăugăm și „bycatch”-ul – aplicații malițioase cu alt cod decât Anatsa –, cercetătorii au identificat 77 de titluri care, cumulat, au fost instalate de peste 19 milioane de ori. Toate au fost raportate către Google.
Campaniile anterioare ale Anatsa vizau peste 650 de instituții financiare; valul curent include aproximativ 180 de aplicații noi, dintre care peste 150 sunt aplicații bancare sau de criptomonede suplimentare.
Vectorul principal rămâne tehnica „dropper”: aplicația aparent inofensivă trece de filtrele Magazinului Google Play, iar după instalare descarcă, sub forma unei „actualizări”, componenta malițioasă de pe serverul de comandă și control. Pe Android, această abordare ajută Anatsa să eludeze mecanismele de analiză automată ale Google și să obțină persistență pe dispozitive.
Zscaler detaliază și mecanismele de camuflaj: o arhivă coruptă ascunde un fișier DEX care este activat doar la execuție, iar instrumentele ZIP standard nu pot inspecta conținutul din cauza defectului intenționat.
În etapa de monetizare, Anatsa afișează pagini de conectare false, descărcate de la același server de comandă și control și adaptate aplicațiilor financiare detectate pe smartphone, pentru a colecta acreditările utilizatorilor.
Cercetătorii au publicat patru Indicatori de Compromitere, însă lista completă a celor 77 de aplicații nu este disponibilă, întrucât au fost raportate și, se pare, retrase din Magazinul Play. În ecosistemul Google, eliminarea ar fi fost propagată și la nivelul telefoanelor prin Google Play Protect, semn că lupta pentru protejarea utilizatorilor Android continuă pe mai multe fronturi.
This post was last modified on sept. 1, 2025, 1:48 PM 13:48