O Zscaler ThreatLabz, um centro de pesquisa em segurança cibernética, publicou recentemente um relatório detalhando a detecção de mais de 90 aplicativos maliciosos no Google Play Store. Coletivamente, esses aplicativos acumularam mais de 5,5 milhões de instalações, representando uma ameaça significativa à segurança dos usuários. O aumento na disseminação do malware Anatsa (também conhecido como TeaBot) foi particularmente destacado, revelando uma nova sofisticação nas táticas de engenharia social utilizadas pelos agentes de ameaças.
Nos últimos meses, o Zscaler ThreatLabz observou um crescimento alarmante na presença do malware Anatsa. Esse malware, conhecido por suas capacidades avançadas de roubo de informações bancárias, utiliza aplicativos dropper que inicialmente parecem inofensivos para os usuários. Esses aplicativos, muitas vezes disfarçados como leitores de PDF ou leitores de código QR, conseguem enganar os usuários para que instalem a carga maliciosa sem perceberem.
técnicas de sobreposição e acessibilidade para interceptar e coletar credenciais bancárias e informações financeiras de aplicativos globais. Uma vez instalado, o malware extrai informações sensíveis, como dados de login bancário, utilizando técnicas avançadas para se esconder e evitar a detecção.
Análise das campanhas de ataque
A Zscaler identificou várias campanhas de ataque envolvendo o Anatsa. Essas campanhas utilizam temas populares, como leitores de PDF e leitores de código QR, para distribuir malware através do Google Play Store. Os aplicativos chamativos atraem um grande número de instalações, facilitando a infiltração do malware em dispositivos de usuários desavisados.
Principais conclusões:
- Aplicativos chamariz: aplicativos como leitores de PDF e leitores de códigos QR são usados como iscas para implantar o Anatsa.
- Disfarce de ferramentas: muitos aplicativos maliciosos se disfarçam como ferramentas úteis, como gerenciadores de arquivos e editores.
- Atualizações legítimas falsas: a carga útil do Anatsa é frequentemente disfarçada como uma atualização legítima do aplicativo, o que aumenta a chance de instalação pela vítima.
- Evasão de detecção: os agentes de ameaças utilizam várias técnicas para evitar a detecção, incluindo verificação de ambientes virtuais e corrupção de cabeçalhos ZIP dos APKs.
Distribuição e execução do Anatsa
O Anatsa é um malware bancário bem conhecido que tem como alvo mais de 650 instituições financeiras em todo o mundo. Originalmente focado em bancos europeus, o malware expandiu suas operações para incluir instituições financeiras nos Estados Unidos, Reino Unido, Alemanha, Espanha, Finlândia, Coreia do Sul e Singapura.
O Anatsa utiliza uma técnica onde o aplicativo inicial parece limpo. Após a instalação, o aplicativo baixa uma carga maliciosa de um servidor de comando e controle (C2), disfarçada como uma atualização do aplicativo. Isso permite que o malware seja carregado no Google Play Store oficial e passe despercebido.
Sequência de ataque
A sequência de ataque do Anatsa começa com a instalação de um aplicativo dropper. Este aplicativo, aparentemente benigno, contém links codificados para servidores remotos. Após a instalação, o aplicativo baixa a carga maliciosa e um arquivo de configuração do servidor remoto, utilizando reflexão para invocar o código de um arquivo DEX carregado.
O Anatsa verifica o ambiente do dispositivo para identificar possíveis sandboxes ou ambientes de análise. Após a verificação, o malware prossegue com o download do terceiro estágio e da carga final do servidor remoto.
Em uma tentativa de dificultar a análise, os agentes de ameaça corrompem os parâmetros de compactação dos arquivos de manifesto. Isso requer que os analistas corrijam manualmente os cabeçalhos ZIP antes de prosseguir com a análise estática.
Tendências no Google Play Store
A análise do Zscaler ThreatLabz revelou que a categoria de aplicativos mais utilizada para espalhar malware é a de ferramentas, representando quase 40% dos aplicativos maliciosos. Personalização e fotografia constituem cerca de 20% e 13%, respectivamente. Agentes de ameaças continuam a explorar essas categorias para maximizar a disseminação do malware.
Após a execução, o Anatsa solicita várias permissões, incluindo acesso a SMS e opções de acessibilidade, comumente associadas a trojans bancários móveis. O malware oculta a carga final do DEX nos arquivos de ativos e, durante o tempo de execução, descriptografa o arquivo DEX usando uma chave estática.
O malware estabelece comunicação com o servidor C2 para registrar o dispositivo infectado e recuperar uma lista de aplicativos direcionados. Ao identificar um aplicativo bancário instalado, o Anatsa carrega uma página de login falsa para roubar as credenciais do usuário.