Článek
Zscaler ThreatLabz právě zveřejnil novou studii o infekčních kampaních zaměřených na Android prostřednictvím aplikací distribuovaných v Google Play Store. Zpráva poukazuje zejména na Anatsu, obzvláště aktivní bankovní trojan, ale především odhaluje, že Google musel ze svého oficiálního obchodu odstranit desítky aplikací. Celkem byly tyto zavirované aplikace nainstalovány více než 19 milionkrát, než byly nahlášeny, čímž vystavily své uživatele reálnému riziku bankovního podvodu.
77 nastražených aplikací a 19 milionů potenciálně ohrožených osob
Tyto aplikace, které se tvářily jako zcela běžné — čtečky dokumentů, správci souborů nebo nástroje — si dokázaly najít cestu do Obchodu Play. Pečlivě navržené rozhraní, důvěryhodné funkce, dobře zpracované popisy — nic nenasvědčovalo tomu, že by mohlo jít o skrytý malware. Výsledkem bylo, že některé z nich bez problémů překročily hranici 50 000 instalací, což přispělo k celkovému počtu více než 19 milionů stažení v době šetření společnosti Zscaler.
Za některými z těchto aplikací se skrývá Anatsa, bankovní trojan, který neustále zdokonaluje své metody. Již dříve známý svými útoky na uživatele finančních služeb, nyní se zaměřuje na více než 800 bankovních aplikací, kryptoměnových platforem a platebních služeb po celém světě, s vysokou aktivitou v Evropě.
Malware nyní obsahuje pokročilejší keylogger a skrývá svůj kód v záměrně poškozených APK archivech nebo JSON souborech, aby ztížil analýzu. Také kontroluje prostředí, ve kterém běží, aby odhalil emulátory a bezpečnostní nástroje, a tím se vyhnul odhalení. Po instalaci Anatsa žádá přístup ke službám zpřístupnění. Pokud získá oprávnění, automaticky aktivuje všechna oprávnění deklarovaná v aplikaci, včetně čtení a přijímání SMS nebo překrývání obrazovek. Tyto přístupy mu umožňují zobrazovat falešná rozhraní nebo zachytávat informace zadané cílem.
K získání přihlašovacích údajů si Anatsa následně stáhne ze svého serveru falešné přihlašovací stránky, navržené tak, aby napodobovaly bankovní nebo kryptoměnové aplikace detekované na zařízení oběti. Výzkumníci také identifikovali další rodiny malwaru v těchto kampaních, zejména Joker a Harly, které používají podobné techniky k odcizení osobních údajů a autentizačních kódů.
Jak omezit rizika spojená se škodlivými aplikacemi
Google sice potvrdil, že dotčené aplikace odstranil z Obchodu Play, ale ty, které již byly nainstalovány na napadených zařízeních Android, stále fungují a nadále představují riziko. Kampaň rovněž poukazuje na omezení bezpečnostních kontrol Googlu, které tyto aplikace nedokázaly odhalit navzdory milionům stažení. Bohužel zpráva společnosti Zscaler neuvádí názvy dotčených aplikací, což uživatelům ztěžuje jejich identifikaci. V případě pochybností je lepší ručně zkontrolovat aplikace nainstalované na svém zařízení a věnovat zvláštní pozornost těm, které jsou málo známé nebo pocházejí od neznámých vývojářů.
Doporučuje se také pravidelně kontrolovat oprávnění udělená aplikacím, zejména ta týkající se SMS, překrývání obrazovky nebo služeb zpřístupnění, které jsou často zneužívány malwarem. V případě pochybností o aplikaci je vhodné ji okamžitě odinstalovat.
Rizika lze také snížit pravidelnou aktualizací systému Android a aplikací. Počet stažení může hrát určitou roli, ale jak ukázala tato kampaň, není vždy spolehlivým ukazatelem. Je tedy třeba jej porovnat s dalšími faktory, jako je identita vývojáře, podrobné recenze ostatních uživatelů a celková reputace aplikace.
Nakonec může pomoci mobilní antivirus při odhalování známých hrozeb a některé VPN nyní nabízejí integrované filtry proti podvodným stránkám a škodlivým aplikacím.
Zdroj: Zscaler
