77 app Android dannose con 19 milioni di download hanno preso di mira 831 banche in tutto il mondo

Zscaler segnala che 77 app Android su Google Play con 19 milioni di installazioni diffondono malware, colpendo 831 banche ed esponendo gli utenti a frodi e furti.

Una nuova indagine condotta dal team ThreatLabz di Zscaler ha rivelato che 77 app dannose, con oltre 19 milioni di installazioni, diffondevano diverse famiglie di malware tramite il Google Play Store ufficiale.

La ricerca si è concentrata su una nuova ondata di infezioni del trojan bancario Anatsa (noto anche come TeaBot ), un programma dannoso identificato per la prima volta nel 2020 che si è evoluto in una minaccia più pericolosa e sofisticata.

L'ultima variante di Anatsa ha ampliato notevolmente la sua portata, prendendo di mira oltre 831 istituti finanziari in tutto il mondo rispetto ai precedenti 650. Gli autori del malware hanno incluso anche nuove regioni come Germania e Corea del Sud, oltre alle popolari piattaforme di criptovalute.

Molte delle applicazioni esca, progettate per apparire come innocui lettori di documenti, hanno totalizzato singolarmente più di 50.000 download, a dimostrazione dell'ampia portata della campagna.

Secondo quanto riferito, gli autori del malware utilizzano come esca un'app denominata "Document Reader – File Manager", che scarica il payload dannoso Anatsa solo dopo l'installazione, per eludere la revisione del codice da parte di Google.

Ulteriori ricerche hanno rivelato che le app scaricate dallo store ufficiale sono inizialmente pulite e funzionano come promesso. Tuttavia, una volta installate, l'app scarica silenziosamente il malware Anatsa, mascherato da aggiornamento necessario. Inducendo gli utenti ad abilitare i Servizi di Accessibilità di Android, il malware può automatizzare le sue azioni dannose.

Una volta preso il controllo, il malware ruba informazioni finanziarie, monitora le sequenze di tasti premuti e facilita transazioni fraudolente visualizzando false pagine di accesso che imitano le app bancarie o finanziarie installate sul dispositivo dell'utente. Quando un utente tenta di accedere, le informazioni vengono inviate direttamente agli aggressori.

Il malware può anche eludere l'analisi di sicurezza rendendo il suo codice difficile da leggere e verificando se viene eseguito in un ambiente di test. Questo include l'utilizzo della decrittazione runtime Data Encryption Standard (DES) e l'esecuzione di controlli di emulazione per bypassare gli strumenti di sicurezza. Utilizza un archivio ZIP corrotto per nascondere un file dannoso cruciale, rendendolo difficile da rilevare per gli strumenti di analisi standard.

L'indagine di Zscaler ha rilevato che, sebbene la maggior parte delle app dannose contenesse adware, il malware Android più frequentemente rilevato era Joker , presente in quasi un quarto delle app analizzate. Questo tipo di malware è noto per la sua capacità di rubare contatti e informazioni sul dispositivo, acquisire screenshot, effettuare chiamate e persino leggere e inviare messaggi di testo per iscrivere gli utenti a servizi premium senza il loro consenso.

Un gruppo più piccolo di app conteneva "maskware", un tipo di malware che funziona come un'app legittima ma svolge attività dannose in background, come il furto di credenziali e dati personali come posizione e messaggi SMS. È stata individuata anche una variante del malware Joker chiamata Harly, che elude il rilevamento durante il processo di revisione nascondendo il suo payload dannoso in profondità nel codice di un'app dall'aspetto altrimenti legittimo.

Poiché minacce come questa continuano ad espandersi e diffondersi, rappresentano un rischio crescente per la privacy personale, i sistemi finanziari e le aziende private.

"Gli utenti Android dovrebbero sempre verificare le autorizzazioni richieste dalle applicazioni e assicurarsi che siano in linea con le funzionalità previste dall'applicazione", conclude la ricerca.

"La scoperta di Zscaler Threat Labs ci ricorda chiaramente che la strategia di sicurezza degli app store ufficiali come il Google Play Store è in gran parte reattiva", ha affermato Mayank Kumar , Founding AI Engineer di DeepTempo. Ha osservato che, quando queste app vengono rimosse, un numero enorme di utenti, in questo caso 19 milioni, risulta già compromesso.

Kumar ha spiegato che gli aggressori stanno diventando più creativi, utilizzando tattiche come l'integrazione del codice nel core di un'app per apparire innocui durante il processo di revisione. Ha citato la variante Harly come esempio, osservando che utilizza livelli di offuscamento per aggirare i controlli di sicurezza.

"Con l'avvento dell'intelligenza artificiale, diventerà ancora più facile per gli autori delle minacce progettare i payload multifase e l'offuscamento avanzato necessari per sconfiggere i sistemi di scansione e rilevamento basati sulle firme che costituiscono il nucleo delle difese dell'app store", ha aggiunto.