H ασφάλεια των χρηστών Android δέχεται νέο πλήγμα, καθώς η ερευνητική ομάδα ThreatLabs της Zscaler εντόπισε 77 κακόβουλες εφαρμογές στο Google Play με περισσότερες από 19 εκατομμύρια λήψεις. Οι εφαρμογές αυτές φιλοξενούσαν πολλαπλές οικογένειες malware, με ορισμένες να στοχεύουν προσωπικά δεδομένα και τραπεζικές πληροφορίες εκατομμυρίων χρηστών παγκοσμίως.
Η ανακάλυψη ήρθε στο πλαίσιο της ανάλυσης ενός νέου κύματος μολύνσεων με το τραπεζικό trojan Anatsa (γνωστό και ως TeaBot), το οποίο έχει βάλει στο στόχαστρο Android συσκευές με σκοπό την κλοπή τραπεζικών στοιχείων και κρυπτονομισμάτων.
Το Joker και άλλες απειλές
Η έρευνα αποκάλυψε ότι περίπου τα δύο τρίτα των μολυσμένων εφαρμογών περιείχαν στοιχεία adware, ωστόσο η πιο διαδεδομένη malware απειλή ήταν το κακόβουλο λογισμικό Joker, που βρέθηκε σχεδόν στο 25% των εφαρμογών. Το Joker είναι ιδιαίτερα επικίνδυνο, καθώς αποκτά πρόσβαση σε SMS, λίστες επαφών, τηλεφωνικές κλήσεις, πληροφορίες συσκευής και εγγράφει τους χρήστες σε συνδρομητικές υπηρεσίες χωρίς τη συγκατάθεσή τους.
ρευνητές εντόπισαν επίσης παραλλαγές όπως το Harly, μια έκδοση του Joker με κακόβουλο payload βαθιά κρυμμένο στον κώδικα ώστε να διαφεύγει της ανίχνευσης.
Ένα μικρότερο αλλά ανησυχητικό ποσοστό εφαρμογών ενσωμάτωνε maskware – κακόβουλο λογισμικό που καμουφλάρεται ως νόμιμη εφαρμογή, λειτουργεί κανονικά προς τον χρήστη, αλλά στο παρασκήνιο υποκλέπτει διαπιστευτήρια και άλλες ευαίσθητες πληροφορίες.
Η διαρκής εξέλιξη του Anatsa
Το μεγαλύτερο βάρος της έρευνας έπεσε στο Anatsa trojan, το οποίο συνεχίζει να εξελίσσεται με ανησυχητικούς ρυθμούς. Σύμφωνα με τη Zscaler, η τελευταία του έκδοση έχει επεκτείνει τον κατάλογο στόχων από 650 σε 831 εφαρμογές τραπεζών και crypto wallets, αυξάνοντας σημαντικά τον κίνδυνο για χρήστες σε περισσότερες χώρες, συμπεριλαμβανομένης πλέον της Γερμανίας και της Νότιας Κορέας.
Οι χειριστές του Anatsa χρησιμοποίησαν την εφαρμογή-δόλωμα «Document Reader – File Manager», η οποία κατεβάζει το κακόβουλο payload μόνο αφού εγκατασταθεί στη συσκευή, παρακάμπτοντας έτσι τους ελέγχους της Google. Η νέα καμπάνια εγκαθιστά απευθείας το malware μέσω αρχείων JSON, ενώ τα παλαιότερα δείγματα βασίζονταν στη φόρτωση DEX αρχείων.
Για να αποφύγει την ανίχνευση, το Anatsa χρησιμοποιεί τεχνικές όπως αλλοιωμένα APKs, runtime αποκρυπτογράφηση συμβολοσειρών, emulation detection και συχνές αλλαγές σε πακέτα και hashes. Στο λειτουργικό επίπεδο, εκμεταλλεύεται τα δικαιώματα προσβασιμότητας του Android για να αποκτήσει σχεδόν πλήρη έλεγχο της συσκευής.
Πέρα από την κλοπή τραπεζικών στοιχείων, η πιο πρόσφατη εκδοχή διαθέτει και λειτουργία keylogger για την υποκλοπή πληκτρολογήσεων, καθώς και phishing σελίδες που μιμούνται εκατοντάδες εφαρμογές, ενισχύοντας την ικανότητά του να εξαπατά χρήστες και να αποσπά κρίσιμα δεδομένα.
Ιστορικό καμπανιών
Το Anatsa δεν εμφανίστηκε για πρώτη φορά τώρα. Σε προηγούμενες καμπάνιες, το malware είχε παρεισφρήσει στο Google Play μεταμφιεσμένο σε PDF viewers, QR code readers και εφαρμογές καθαρισμού τηλεφώνου. Μάλιστα, το περασμένο καλοκαίρι μια τέτοια εφαρμογή σημείωσε πάνω από 50.000 λήψεις, ενώ το 2024 υπήρξαν καμπάνιες με δεκάδες χιλιάδες μολύνσεις κάθε φορά. Το μοτίβο αυτό δείχνει μια σταθερή και μεθοδική προσπάθεια από τους επιτιθέμενους να αξιοποιούν φαινομενικά χρήσιμες εφαρμογές για να προσελκύσουν ανυποψίαστους χρήστες.
Η εικόνα στο Google Play
Σύμφωνα με την Zscaler, η τρέχουσα έρευνα έδειξε ότι οι περισσότερες μολυσμένες εφαρμογές ανήκαν σε κατηγορίες εργαλείων και εξατομίκευσης, με την ψυχαγωγία, τη φωτογραφία και τον σχεδιασμό να ακολουθούν. Αυτές οι κατηγορίες θεωρούνται πλέον υψηλού κινδύνου, καθώς αποτελούν δημοφιλή πεδία για την εξάπλωση κακόβουλων εφαρμογών.
Ο Himanshu Sharma, ερευνητής της Zscaler, δήλωσε: «Παρατηρούμε μια απότομη αύξηση στις adware εφαρμογές, ενώ παραδοσιακές οικογένειες όπως το Facestealer και το Coper έχουν μειωθεί αισθητά».
Συνολικά, οι 77 κακόβουλες εφαρμογές συγκέντρωσαν 19 εκατομμύρια λήψεις πριν αφαιρεθούν από το Google Play, μετά από σχετική αναφορά της Zscaler στη Google.
Τι πρέπει να κάνουν οι χρήστες
Παρότι η Google αφαίρεσε τα μολυσμένα apps, οι χρήστες που τα εγκατέστησαν πρέπει να λάβουν μέτρα. Η ενεργοποίηση του Play Protect αποτελεί το πρώτο βήμα για τον εντοπισμό και την αφαίρεση ύποπτων εφαρμογών. Σε περίπτωση μόλυνσης από το Anatsa, απαιτείται επιπλέον επικοινωνία με την τράπεζα ώστε να διασφαλιστούν οι λογαριασμοί και τα online διαπιστευτήρια.
Για να μειωθεί ο κίνδυνος μελλοντικών μολύνσεων, συνιστάται οι χρήστες να κατεβάζουν εφαρμογές μόνο από αξιόπιστους εκδότες, να ελέγχουν κριτικές άλλων χρηστών και να παραχωρούν αποκλειστικά τα δικαιώματα που σχετίζονται με τη βασική λειτουργία της εφαρμογής.
Η υπόθεση των 77 κακόβουλων εφαρμογών δείχνει ότι ακόμα και το Google Play, παρά τους ελέγχους του, δεν είναι απρόσβλητο. Το Anatsa, το Joker και οι παραλλαγές τους αποδεικνύουν πως οι κυβερνοεγκληματίες εξελίσσουν συνεχώς τις μεθόδους τους, στοχεύοντας μαζικά τους χρήστες Android. Η επαγρύπνηση και η σωστή «ψηφιακή υγιεινή» παραμένουν η μόνη ασπίδα απέναντι σε αυτόν τον αθέατο αλλά διαρκώς αυξανόμενο κίνδυνο.
Πηγή: www.bleepingcomputer.com
