Mais de 300 mil usuários foram infectados por Trojan tipo conta-gotas em apps da Play Store

Pesquisadores de segurança cibernética da ThreatFabric detalharam uma família de malware que não foi detectada pela loja de aplicativos Google Play e que pode ter exposto senhas de centenas de milhares de pessoas. Os cavalos de Troia para roubo de senhas do Android foram disfarçados como leitores de QR code, monitores de fitness, aplicativos de criptomoeda e outros, de acordo com publicação do site ZDNet.

Mais de 300.000 usuários de smartphones Android baixaram esses aplicativos de malware para cavalos de Troia bancários.

Segundo os pesquisadores da ThreatFabric, quatro formas diferentes de malware são entregues às vítimas por meio de versões maliciosas de aplicativos comumente baixados, como scanners de documentos, leitores de QR code, monitores de fitness e aplicativos de criptomoeda.

Os aplicativos disfarçam em funções reais sua intenção maliciosa, conduzindo os usuários baixarem e instalarem o aplicativo contornando as detecções da Play Store.

O malware Anatsa é um dos quatro detalhados pelos pesquisadores e foi instalado por mais de 200.000 usuários do Android. Os pesquisadores o descrevem como um trojan bancário “avançado”.

“Anatsa é um cavalo de Troia bastante avançado para Android, com recursos RAT e semi-ATS. Ele também pode realizar ataques clássicos de sobreposição para roubar credenciais, registro de acessibilidade (capturando tudo o que é mostrado na tela do usuário) e keylogging. Anteriormente, o ThreatFabric relatou casos em que Anatsa foi distribuído lado a lado com Cabassous em campanhas de smishing em toda a Europa”, escrevem os pesquisadores em um blog.

O malware Anasta está ativo desde janeiro, mas os pesquisadores descobriram o primeiro conta-gotas em junho de 2021, mascarado como um aplicativo para digitalizar documentos. No total, os analistas do ThreatFabric foram capazes de identificar 6 droppers Anatsa publicados no Google Play desde junho de 2021.

Os usuários são atingidos, primeiramente, através de e-mails de phishing ou campanhas publicitárias falsas que levam as vítimas aos aplicativos maliciosos.

Um desses aplicativos é um scanner de QR code que foi instalado apenas por 50.000 usuários. Mas sua página de download apresentava um grande número de avaliações positivas, o que poderia encorajar as pessoas a baixar o aplicativo, destaca o ZDNet.

Após o download, os usuários são levados a atualizar o aplicativo para continuar a usá-lo e é essa atualização que se conecta a um servidor de comando e controle e baixa a carga útil do Anatsa no dispositivo, diz o site, fornecendo aos invasores meios para roubar detalhes bancários e outras informações.

Outra família de malware detalhada pelos pesquisadores foi o Alien, um cavalo de Troia para Android que também pode roubar recursos de autenticação de dois fatores e que está ativo há mais de um ano e recebeu 95.000 instalações por meio de aplicativos maliciosos na Play Store.

Um aplicativo contaminado com esse cavalo de Troia era de treinamento de ginástica e fitness. Neste caso, o aplicativo ainda era acompanhado de um site, para parecer ainda mais legítimo, que também servia como centro de comando e controle para o malware Alien.

Da mesma forma que o Anasta, após o download inicial os usuários são forçados a realizar uma atualização falsa do aplicativo para usá-lo, que distribui a carga.

Hydra e Ermac, que têm um total combinado de pelo menos 15.000 downloads, foram outras formas de malware detalhadas pelos pesquisadores da ThreatFabric, identificados como fonte de ataque do grupo de cibercriminosos Brunhilda, conhecido por atacar dispositivos Android com malware bancário.

O ThreatFabric relatou todos os aplicativos maliciosos ao Google e eles já foram removidos ou estão sob revisão, diz o ZDNet.

“O ecossistema de malware bancário do Android está evoluindo rapidamente. Esses números que observamos agora são o resultado de uma lenta, mas inevitável mudança de foco dos criminosos para o cenário móvel. Com isso em mente, a Google Play Store é a mais atraente plataforma a ser usada para servir malware”, disse Dario Durando, especialista em malware móvel da ThreatFabric à ZDNet.

Com informações de ZDNet