Uma nova e perigosa vaga de malware atingiu a Google Play Store, com setenta e sete aplicações maliciosas a serem responsáveis por mais de 19 milhões de instalações em dispositivos Android. Estas apps continham diversas famílias de malware, desde adware a trojans bancários sofisticados, capazes de roubar dados sensíveis dos utilizadores.
A descoberta foi feita pela equipa de investigação ThreatLabs da Zscaler, que identificou um aumento acentuado de aplicações com adware na loja da Google, a par de malware mais perigoso como o Joker, Harly e o trojan bancário Anatsa. As categorias de personalização e ferramentas foram as mais utilizadas como isco, representando mais de metade das apps fraudulentas.
Anatsa: o trojan bancário que continua a evoluir
O protagonista desta campanha é o Anatsa, também conhecido como Tea Bot, um trojan bancário que expandiu significativamente o seu alcance. A versão mais recente já visa um total de 831 aplicações de bancos e criptomoedas, um aumento considerável face às 650 anteriores, incluindo agora alvos na Alemanha e na Coreia do Sul.
Para contornar a revisão de segurança da Google, os atacantes utilizaram uma aplicação engodo chamada “Document Reader – File Manager”. Esta app, aparentemente legítima, apenas descarregava o payload malicioso do Anatsa após a sua instalação. Uma vez ativo, o Anatsa abusa das permissões de Acessibilidade do Android para obter privilégios alargados, permitindo-lhe apresentar páginas de phishing e roubar credenciais através de um novo módulo de keylogging.
Joker e Harly: os ladrões de dados disfarçados
Apesar da perigosidade do Anatsa, a maioria das aplicações maliciosas (mais de 66%) continha componentes de adware. No entanto, o malware mais comum foi o Joker, encontrado em quase 25% das apps analisadas. Uma vez instalado, o Joker consegue ler e enviar SMS, fazer capturas de ecrã, realizar chamadas, roubar listas de contactos e subscrever os utilizadores em serviços premium sem o seu consentimento.
Os investigadores encontraram também uma variante do Joker, denominada Harly, que se esconde em aplicações populares de jogos, papéis de parede ou editores de fotos. Este tipo de malware, conhecido como “maskware”, funciona como anunciado, mas executa atividades maliciosas em segundo plano, como o roubo de credenciais e outras informações sensíveis.
Como proteger o seu dispositivo Android
A Zscaler informou que a Google já removeu todas as 77 aplicações maliciosas identificadas da Play Store. No entanto, a prevenção continua a ser a melhor defesa. É crucial que os utilizadores garantam que o serviço Play Protect está ativo no seu dispositivo, uma vez que este ajuda a identificar e remover apps perigosas.
Para minimizar o risco, desconfie de aplicações de editoras pouco conhecidas, leia sempre as críticas de outros utilizadores e conceda apenas as permissões que são estritamente necessárias para a funcionalidade principal da aplicação. No caso de uma infeção pelo trojan Anatsa, é imperativo contactar imediatamente o seu banco para proteger as suas contas e credenciais.
(TT)