Buzz
Hơn 90 ứng dụng Android độc hại với hơn 5,5 triệu lượt cài đặt đã bị phát hiện trên Google Play. Trong số đó, Anatsa, một trojan ngân hàng, đang thu hút sự chú ý với mục tiêu là hơn 650 ứng dụng từ các tổ chức tài chính trên khắp thế giới.
Anatsa (hay còn được biết đến với tên gọi 'Teabot') đang nhắm mục tiêu vào hơn 650 ứng dụng từ các tổ chức tài chính ở châu Âu, Mỹ, Anh và châu Á. Mục đích của nó là đánh cắp thông tin đăng nhập của người dùng ngân hàng trực tuyến để thực hiện các giao dịch gian lận.
Vào tháng 2 năm 2024, Threat Fabric báo cáo rằng, từ cuối năm trước đến nay, Anatsa đã lây nhiễm ít nhất 150.000 thiết bị thông qua Google Play bằng cách sử dụng nhiều ứng dụng mồi khác nhau trong danh mục phần mềm năng suất.
Mới đây, Zscaler đã báo cáo rằng Anatsa đã trở lại trên cửa hàng ứng dụng chính thức của Android và đang được phát tán thông qua hai ứng dụng mồi: 'PDF Reader & File Manager' và 'QR Reader & File Manager'.
Tính đến thời điểm Zscaler phân tích, hai ứng dụng này đã có 70.000 lượt cài đặt, là dấu hiệu cho thấy nguy cơ của các dropper độc hại trong việc vượt qua quá trình kiểm tra của Google.
Một trong những điều giúp các dropper của Anatsa không bị phát hiện là cơ chế tải payload nhiều giai đoạn, bao gồm bốn bước cụ thể.
Dropper thu thập cấu hình và thông tin cần thiết từ máy chủ kiểm soát tấn công.
Tệp DEX chứa dropper độc hại được tải xuống và kích hoạt trên thiết bị.
Tệp cấu hình với URL payload của Anatsa được tải xuống.
Tệp DEX tải và cài đặt payload phần mềm độc hại (APK), hoàn tất quá trình lây nhiễm.
Ngoài ra, tệp DEX cũng thực hiện các bước kiểm tra để đảm bảo rằng phần mềm độc hại sẽ không được thực thi trong môi trường sandbox hoặc mô phỏng.
Sau khi Anatsa thiết lập và chạy trên thiết bị bị nhiễm, nó sẽ tải lên cấu hình bot và kết quả quét ứng dụng, sau đó tải xuống các thành phần bổ sung tùy thuộc vào vị trí và thông tin của nạn nhân.
Các mối đe dọa khác trên Google Play
Trong vài tháng gần đây, Zscaler đã thông báo về việc phát hiện hơn 90 ứng dụng độc hại trên Google Play, với tổng số lượt tải xuống lên đến 5,5 triệu.
Hầu hết các ứng dụng độc hại giả mạo các công cụ, ứng dụng cá nhân hóa, ứng dụng chụp ảnh, nâng cao năng suất và thậm chí cả ứng dụng sức khỏe & thể dục.
Trong số các phần mềm độc hại phổ biến, có thể kể đến Joker, Facestealer, Anatsa, Coper và nhiều phần mềm quảng cáo khác.
Mặc dù Anatsa và Coper chỉ chiếm 3% tổng số lượt tải xuống độc hại từ Google Play, nhưng chúng vẫn rất nguy hiểm với khả năng thực hiện các hành vi lừa đảo và đánh cắp thông tin nhạy cảm.
Khi tải xuống ứng dụng mới từ Google Play, người dùng cần chú ý đến các quyền được yêu cầu và từ chối các quyền liên quan đến các hoạt động có nguy cơ cao như dịch vụ trợ năng, SMS và danh bạ.
Các nhà nghiên cứu không tiết lộ danh sách tên của hơn 90 ứng dụng và liệu chúng đã bị báo cáo cho Google để gỡ bỏ hay không. Tuy nhiên, Zscaler đã phát hiện và thông báo rằng hai ứng dụng phát tán Anatsa đã bị xóa khỏi Google Play.
