Superano quota 90 le app Android malevole sul marketplace di Google che contano 5,5 milioni di installazioni, pronte a distribuire malware e adware. Lo riporta Zscaler che lancia l’allarme per banking trojan Anatsa, già rimosso dal PlayStore.
In particolare, ha registrato una recente impennata di attività “una di queste minacce, rappresentata dal malware Anatsa, noto anche come Teabot. Scoperto nel 2021, è rapidamente diventato uno dei malware bancari più diffusi nel contesto Android“, commenta Luigi Martire, Tinexta Cyber – CERT Technical Leader.
Ecco come mitigare il rischio delle app dropper sfuggite al processo di revisione di Google.
Indice degli argomenti
Il banking trojan Anatsa su PlayStore: perché è pericoloso
Anatsa è un trojan bancario che prende di mira oltre 650 applicazioni di istituzioni finanziarie in Europa, Stati Uniti, Regno Unito e Asia. Tenta di rubare le credenziali di banking digitale delle persone, per eseguire transazioni fraudolente.
“Le sue caratteristiche includono infatti la capacità di effettuare screenshot, registrare i tasti premuti (keylogging) e intercettare i codici di autenticazione a due fattori (2FA) sia tramite sistemi di intercettazione delle chiamate sia tramite finestre di overlay che simulano un’applicazione legittima”, conferma Luigi Martire.
Nel febbraio scorso, Threat Fabric ha riferito che dalla fine dell’anno scorso, Anatsa ha registrato almeno 150.000 infezioni via Google Play sfruttando varie applicazioni esca della categoria software di produttività.
Zscaler riporta che Anatsa è tornato nell’app store ufficiale di Android e ora è distribuito via due applicazioni esca: PDF Reader & File Manager e QR Reader & File Manager.
Al momento dell’analisi, le due app avevano già accumulato 70.000 installazioni, dimostrando l’elevato rischio che le app dropper malevole sfuggano al processo di revisione di Google.
“Il tema della sicurezza Android è un argomento molto discusso in questi giorni. Se si osserva attentamente, si noterà che molte di queste storie provengono da sviluppatori che guadagnano creando programmi malware per dispositivi Android”, spiega Ashan Perera di Red Team Operator di Tinexta Cyber: “Poiché gli attaccanti di solito mirano alle categorie di applicazioni più scaricate per distribuire il loro malware, diventa sempre difficile per gli utenti identificare quali applicazioni sono sicure da scaricare, rendendo difficile per gli utenti evitare le applicazioni potenzialmente vulnerabili”.
I dettagli del banking trojan Anatsa
Il file DEX esegue anche controlli anti-analisi per garantire che il malware non venga eseguito in sandbox o ambienti emulativi.
Una volta che Anatsa è attivo e funzionante sul dispositivo appena infettato, carica la configurazione del bot e i risultati della scansione dell’app, quindi scarica le iniezioni che corrispondono alla posizione e al profilo della vittima.
Infatti, “la ricerca di Zscaler ha evidenziato un ulteriore livello sofisticazione di Anatsa, approfondendo la tecnica multilivello per il caricamento di codice. L’applicazione iniziale richiede al proprio C2 un codice intermedio compilato, conforme al formato DEX (Dalvik Executable), utilizzato dal sistema operativo Android per eseguire le applicazioni. Dopo aver scaricato questo codice intermedio, Anatsa esegue dei controlli per rilevare la presenza di strumenti utilizzati dagli analisti di malware. Se tali controlli vengono superati, viene abilitato il download del payload finale di Anatsa, un file APK, il formato dei pacchetti di applicazioni Android. A questo punto, l’infezione è completa, consentendo all’attaccante di ottenere l’accesso completo al dispositivo della vittima”, mette in guardia Luigi Martire.
Come proteggersi
“Al centro della questione non è solo la presenza di applicazioni malware nel PlayStore, ma anche la mancanza di consapevolezza degli utenti”, sottolinea Ashan Perera: “Per esempio, gli utenti spesso forniscono i permessi del dispositivo alle applicazioni durante l’installazione senza comprendere completamente ciò che stanno accordando”.
La consapevolezza è la miglior arma di difesa insieme alla formazione e alle simulazioni, anche perché Zscaler ha scoperto oltre 90 applicazioni dannose su Google Play, solo negli ultimi due mesi.
La maggior parte di queste si mascherava da tool, app di personalizzazione, utility per la fotografia, produttività e applicazioni per la salute e il fitness. Le cinque famiglie di malware che dominano la scena sono Joker, Facestealer, Anatsa, Coper e vari adware.
Ma non basta l’awareness. Occorre anche una postura di sicurezza, ricordandosi che è essenziale scaricare solo le app strettamente necessarie. Quando si installano nuove app su Google Play, conviene controllare le autorizzazioni richieste e rifiutare quelle associate ad attività ad alto rischio come Accessibility Service, SMS e Rubrica.
“Le recenti scoperte di applicazioni maligne e campagne di malware bancario su Google Play sottolineano l’urgenza di adottare pratiche di sicurezza più rigide, tra cui il download di app solo da sviluppatori affidabili con recensioni positive, la verifica delle autorizzazioni richieste dalle app concedendo solo quelle strettamente necessarie, e l’utilizzo di soluzioni di sicurezza mobile capaci di rilevare e bloccare attività sospette“, conclude Luigi Martire.
