Gli esperti di Zscaler hanno individuato sul Google Play Store oltre 90 app infettate con Anatsa (alias Teabot), un famigerato trojan bancario per Android che permette di rubare le credenziali dei conti correnti. Esaminando il codice di due app è stata individuata la tecnica usata dai cybercriminali per ottenere i dati finanziari.
Play Store non è immune ai malware
Anatsa può colpire oltre 650 app bancarie in Europa, Stati Uniti, Asia e Regno Unito. I cybercriminali sfruttano una tecnica piuttosto semplice ed efficace per ingannare gli utenti. Le app, come PDF Reader & File Manager e QR Reader & File Manager scoperte da Zscaler, sembrano apparentemente innocue. Inizialmente non contengono nessun malware, quindi superano i controlli di Google.
Al termine dell’installazione viene attivato il dropper che scarica un aggiornamento dal server C2 (command and control). Si tratta in realtà di Anatsa. All’avvio dell’app vengono raccolte varie informazioni sul dispositivo, alcune delle quali servono per individuare eventuali sandbox e ambienti di emulazione usati dai ricercatori.
Il malware scarica quindi un file di configurazione in base alla posizione dell’utente. Ciò permette di effettuare la scansione delle app bancarie in base al paese. Come altri trojan simili vengono chiesti permessi per SMS e servizio di accessibilità.
Quando l’ignara vittima apre un’app bancaria, Anatsa sovrappone una schermata di login simile a quella legittima. Ovviamente i dati inseriti, tra cui username, email e password finiscono nelle mani dei cybercriminali che successivamente svuotano il conto corrente. Le due app infette sono state rimosse dal Google Play Store, ma è sempre meglio evitare il download di app pubblicate da sviluppatori sconosciuti.
Ti potrebbe interessare
29 mag 2024