Ognuno di noi utilizza quotidianamente il proprio smartphone e diverse app per vari scopi, questi dispositivi contengono ormai ogni aspetto della nostra vita, motivo per cui la loro sicurezza è fondamentale. Purtroppo siamo ben consapevoli dei rischi che si annidano (malware e virus di vario tipo) non solo sul web ma anche sul Google Play Store, nonostante quest’ultimo sia lo strumento più indicato e sicuro per il download dei software mobili di cui necessitiamo, capita spesso che qualcosa sfugga ai controlli di Big G.

In diverse occasioni sulle nostre pagine vi abbiamo messi in guardia da diversi tipi di malware, solo nell’ultimo mese per esempio abbiamo visto insieme un nuovo virus che ruba il volto degli utenti per accedere al loro conto bancario e un altro che si camuffa da Chrome, segno di come l’attenzione da parte degli utenti non sia mai sufficiente alla tutela dei propri dati.

Oggi, grazie ai ricercatori di threatfabric, diamo insieme uno sguardo ad un malware che ha infettato tra i 150.000 e i 200.000 dispositivi, annidandosi in cinque applicazioni distribuite tramite lo store di Google.

Cinque app sul Google Play Store erano infettate con il malware Anatsa

I ricercatori menzionati in apertura hanno individuato cinque applicazioni, ora fortunatamente rimosse dal Play Store, che contenevano il trojan bancario Anatsa; le app erano principalmente rivolte agli utenti di Regno Unito, Repubblica Ceca, Germania, Slovacchia, Slovenia e Spagna e almeno inizialmente erano rivolte in maniera specifica ai possessori di dispositivi Samsung, anche se in seguito hanno continuato ad operare a prescindere dal produttore del dispositivo.

Riportiamo di seguito i nomi delle app in questione:

  • Phone Cleaner – File Explorer (com.volabs.androidcleaner)
  • PDF Viewer – File Explorer (com.xolab.fileexplorer)
  • PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
  • Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
  • PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)

Come potete notare, si trattava principalmente di software dedicati alla pulizia del dispositivo e alla fruizione di file in formato PDF ed erano progettate in modo da raggiungere le classifiche Top New Free, aumentando di conseguenza le possibilità di essere scaricate da utenti ignari.

Le app in questione utilizzavano un approccio a più fasi, al fine di evitare il rilevamento dello store di Google, scaricando dinamicamente componenti dannosi da un server di comando e controllo (C2); inoltre utilizzavano AccessibilityService, un vettore di malware per automatizzare l’installazione del payload senza che vi fosse la necessità di alcuna interazione da parte dell’utente. Il servizio di accessibilità in questione viene solitamente usato come ausilio per gli utenti con disabilità, ma viene spesso utilizzato per scopi poco leciti nonostante le restrizioni imposte da Google: per fare ciò, il permesso di accedere al servizio di accessibilità è stato mascherato dalla necessità di “ibernare le app che consumano la batteria”, che appare come una funzionalità legittima nel contesto di un’app normale.

Un ulteriore tattica utilizzata per eludere i controlli del Play Store, prevedeva il caricamento del codice dannoso in più fasi, nello specifico:

  • Recupero della configurazione: scarica la configurazione dal server C2 contenente le stringhe essenziali per il codice dannoso, evitando il rilevamento immediato nascondendo gli indicatori sospetti.
  • Download file DEX: recupera un file DEX con il codice dannoso responsabile dell’installazione del payload, attivato dalle stringhe precedentemente scaricate.
  • Configurazione URL del payload: scarica un file di configurazione con l’URL del payload, consentendo agli aggressori di aggiornare il collegamento del payload secondo necessità.
  • Installazione del payload: utilizza il file DEX per scaricare, installare e avviare il malware Anatsa, completando il processo di infezione.

app malware Anatsa aggiornamento codice

Il malware Anatsa, una volta infettato un dispositivo, era in grado di prenderne il totale controllo, eseguendo azioni all’insaputa dell’utente, rubando informazioni sensibili e avviando transazioni economiche in maniera automatica.

Come già detto, le app implicate nella vicenda sono già state rimosse dallo store del colosso di Mountain View, come sottolineato da un portavoce dell’azienda ai colleghi di bleepingcomputer:

Tutte le app identificate nel rapporto sono state rimosse da Google Play.

Gli utenti Android sono automaticamente protetti dalle versioni conosciute di questo malware da Google Play Protect, che è attivo per impostazione predefinita sui dispositivi Android con Google Play Services.

Google Play Protect può avvisare gli utenti o bloccare app note per manifestare comportamenti dannosi, anche quando tali app provengono da fonti esterne a Play.

Nonostante i software infettati dal malware sopra esposto non siano più disponibili per il download e nonostante il nostro Paese non fosse tra i principali bersagli della campagna sopra riportata, è caldamente consigliabile verificare di non aver installato una delle app sopra menzionate; inoltre, come buona pratica ai fini della tutela della propria sicurezza, è sempre bene vagliare con attenzione le autorizzazioni richieste dalle applicazioni prima di procedere al download, tentando ove possibile di prediligere software provenienti da sviluppatori o software house noti.

Potrebbe interessarti anche: Eliminate subito queste app dai vostri dispositivi Android, contengono un malware