Phát hiện hơn 90 ứng dụng độc hại trên Google Play dành cho Android
mhm2022
Th 7 01/06/2024
Anatsa, còn được biết đến với tên gọi "Teabot," đang tấn công hơn 650 ứng dụng của các tổ chức tài chính tại châu Âu, Mỹ, Anh và châu Á. Phần mềm độc hại này có khả năng đánh cắp thông tin đăng nhập ngân hàng trực tuyến của người dùng để tiến hành các giao dịch gian lận.
Vào tháng 2 năm 2024, Threat Fabric báo cáo rằng từ cuối năm ngoái, Anatsa đã lây nhiễm ít nhất 150.000 thiết bị thông qua Google Play, bằng cách ngụy trang trong các ứng dụng thuộc danh mục phần mềm năng suất.
Gần đây, Zscaler thông báo rằng Anatsa đã quay trở lại cửa hàng ứng dụng chính thức của Android, lần này được phát tán qua hai ứng dụng mồi nhử mới: 'PDF Reader & File Manager' và 'QR Reader & File Manager'.
Tại thời điểm Zscaler tiến hành phân tích, hai ứng dụng độc hại này đã đạt tổng cộng 70.000 lượt cài đặt, điều này cho thấy mức độ nguy hiểm cao khi các dropper (ứng dụng được thiết kế để triển khai phần mềm độc hại sau khi được cài đặt) có thể vượt qua quy trình kiểm tra của Google.
Một yếu tố quan trọng giúp các dropper của Anatsa không bị phát hiện chính là cơ chế tải payload (tệp độc hại) nhiều giai đoạn, bao gồm bốn bước:
- Dropper lấy cấu hình và thông tin cần thiết từ máy chủ kiểm soát tấn công.
- Tệp DEX chứa dropper độc hại được tải xuống và kích hoạt trên thiết bị.
- Tệp cấu hình với URL tải payload của Anatsa được tải xuống.
- Tệp DEX tải và cài đặt payload phần mềm độc hại (APK), hoàn tất quá trình lây nhiễm.
Tệp DEX cũng thực hiện các bước kiểm tra để đảm bảo phần mềm độc hại không được thực thi trong môi trường sandbox hoặc mô phỏng.
Sau khi Anatsa thiết lập và hoạt động trên thiết bị mới bị nhiễm, nó sẽ tải lên cấu hình bot và kết quả quét ứng dụng, sau đó tải xuống các thành phần bổ sung tùy thuộc vào vị trí và thông tin của nạn nhân.
Các mối đe dọa khác trên Google Play
Zscaler báo cáo rằng trong vài tháng qua, họ đã phát hiện hơn 90 ứng dụng độc hại trên Google Play, được cài đặt tổng cộng 5,5 triệu lần.
Phần lớn các ứng dụng độc hại này giả danh các công cụ hữu ích như ứng dụng cá nhân hóa, ứng dụng chụp ảnh, năng suất, cũng như ứng dụng sức khỏe và thể dục.
Năm loại phần mềm độc hại phổ biến nhất bao gồm Joker, Facestealer, Anatsa, Coper và nhiều phần mềm quảng cáo khác nhau.
Mặc dù Anatsa và Coper chỉ chiếm 3% tổng số lượt tải xuống độc hại từ Google Play, nhưng chúng lại nguy hiểm hơn nhiều so với các ứng dụng khác, với khả năng thực hiện lừa đảo trên thiết bị và đánh cắp thông tin nhạy cảm.
Khi cài đặt ứng dụng mới trên Google Play, người dùng cần lưu ý các quyền mà ứng dụng yêu cầu và từ chối những quyền liên quan đến các hoạt động có rủi ro cao như dịch vụ trợ năng (accessibility), SMS và danh bạ liên hệ.
Các nhà nghiên cứu không tiết lộ tên của hơn 90 ứng dụng độc hại này và liệu chúng có bị báo cáo cho Google để gỡ bỏ hay không.