Os investigadores de uma empresa de segurança na cloud afirmam que as aplicações, com malware, foram descarregadas mais de 5,5 milhões de vezes. Portanto, vale a pena estar atento!
O seu Android, estará infetado?
Dezenas de aplicações infestados de malware transformaram a loja Google Play num campo minado, de acordo com especialistas em segurança.
Com um total de mais de 5,5 milhões de downloads, as aplicações – que à primeira vista parecem ser pedaços de software perfeitamente mundanos – permitiram que os agentes de ameaças acedessem às credenciais bancárias dos utilizadores do Android e a outros dados sensíveis.
Os investigadores da empresa de segurança cloud Zscaler afirmam que as aplicações estão cada vez mais a esconder o Anatsa, um Trojan também conhecido como TeaBot.
Disfarçado de aplicações de produtividade – incluindo gestores de ficheiros, tradutores e leitores de código QR – o cavalo de Troia entra nos dispositivos móveis de utilizadores incautos e, em seguida, descarrega código malicioso ou cargas úteis encenadas a partir de um servidor de comando e controlo (C2), no que parece ao utilizador uma inocente atualização de software.
Estes payloads verificam o ambiente do dispositivo e extraem um Anatsa Android package kit (APK) de um servidor remoto. Assim que o APK é carregado, as portas abrem-se e o Anatsa pede permissões para as várias funcionalidades do dispositivo.
Malware: o alvo são as aplicações bancárias no seu smartphone
Estas permissões são utilizadas para comparar o dispositivo da vítima com uma lista de potenciais alvos relacionados com bancos. Se houver uma correspondência, o Anatsa fornecerá uma página de início de sessão falsa aquando do próximo lançamento desse alvo.
Se o Chase Bank estiver na lista de alvos e a vítima tiver a aplicação bancária Chase instalada no seu telemóvel, verá uma página de login falsa da próxima vez que abrir essa aplicação. Esta página rouba as credenciais da vítima e devolve-as aos agentes da ameaça Anatsa.
Exemplo referido pelos investigadores.
Uma vez que os payloads do Anatsa não estão escondidos nas próprias aplicações, estas podem ser publicitadas e distribuídas através da loja Google Play, o que facilita mais descarregamentos do que um website ou loja de aplicações de terceiros.
Este maior número de descarregamentos perpétua um ciclo de feedback positivo: Como os utilizadores associam frequentemente a popularidade a software fiável, é mais provável que descarreguem uma aplicação com dezenas de milhares de descargas. Com certeza, os investigadores da Zscaler descobriram que cada aplicação que escondia o Anatsa tinha cerca de 70.000 instalações.
Embora o Anatsa seja o malware de crescimento mais rápido que visa os utilizadores do Android, segundo consta, representa apenas 2,1% dos ataques do Google Play.
O Joker e o Facestealer, que são utilizados para obter acesso às contas das redes sociais das vítimas, mensagens SMS, etc., constituem mais de metade dos ataques promovidos através da loja Google Play.
Estas vulnerabilidades são mais frequentemente transmitidas através de aplicações de “ferramentas”, como leitores de códigos QR e de PDF, bem como aplicações de fotografia e personalização.
A empresa detetou, informou a Google, mas não partilhou a lista das apps, que, eventualmente, já não estarão na loja da empresa de Mountain View.