Plus de 90 applications Android malveillantes ont été trouvées installées plus de 5,5 millions de fois via Google Play pour diffuser des logiciels malveillants et publicitaires, le cheval de Troie bancaire Anatsa ayant récemment connu une augmentation de l’activité.
Natasha (alias « Teapot ») est un cheval de Troie bancaire qui cible plus de 650 applications d’institutions financières en Europe, aux États-Unis, au Royaume-Uni et en Asie. Il tente de voler les identifiants bancaires électroniques des personnes pour effectuer des transactions frauduleuses.
En février 2024, Threat Fabric a rapporté que depuis la fin de l’année dernière, Natasha avait réalisé au moins 150 000 infections via Google Play à l’aide de diverses applications leurres dans la catégorie des logiciels de productivité.
Aujourd’hui, Zscaler rapporte que Natasha est revenue sur l’app Store officiel d’Android et est maintenant distribuée via deux applications leurres: « Lecteur PDF et Gestionnaire de fichiers » et « Lecteur QR et Gestionnaire de fichiers ».’
Au moment de l’analyse de Zscaler, les deux applications avaient déjà amassé 70 000 installations, démontrant le risque élevé que des applications dropper malveillantes passent à travers les mailles du filet dans le processus d’examen de Google.
Une chose qui aide les applications Anatsa dropper à échapper à la détection est le mécanisme de chargement de la charge utile en plusieurs étapes qui implique quatre étapes distinctes:
- L’application Dropper récupère la configuration et les chaînes essentielles du serveur C2
- Le fichier DEX contenant un code compte-gouttes malveillant est téléchargé et activé sur l’appareil
- Le fichier de configuration avec l’URL de la charge utile de la Nasa est téléchargé
- Le fichier DEX récupère et installe la charge utile du logiciel malveillant (APK), complétant l’infection
Le fichier DEX effectue également des vérifications anti-analyse pour s’assurer que le logiciel malveillant ne sera pas exécuté sur des bacs à sable ou des environnements d’émulation.
Une fois Anasta opérationnel sur le périphérique nouvellement infecté, il télécharge la configuration de démarrage et les résultats de l’analyse de l’application, puis télécharge les injections correspondant à l’emplacement et au profil de la victime.
Autres menaces sur Google Play
Zscaler rapporte qu’au cours des deux derniers mois, il a également découvert plus de 90 applications malveillantes sur Google Play, qui ont été installées collectivement 5,5 millions de fois.
La plupart des applications malveillantes se faisaient passer pour des outils, des applications de personnalisation, des utilitaires de photographie, des applications de productivité et de santé et de remise en forme.
Les cinq familles de logiciels malveillants qui dominent la scène sont Joker, Face stealer, Natasha, Cooper et divers logiciels publicitaires.
Bien qu’Anatsa et Coper ne représentent que 3% du total des téléchargements malveillants sur Google Play, ils sont beaucoup plus dangereux que les autres, capables d’effectuer des fraudes sur l’appareil et de voler des informations sensibles.
Lors de l’installation de nouvelles applications sur Google Play, examinez les autorisations demandées et refusez celles associées à des activités à haut risque telles que le service d’accessibilité, les SMS et la liste de contacts.
Les chercheurs n’ont pas divulgué les noms des applications 90+ et s’ils avaient été signalés à Google pour retrait.
Cependant, au moment d’écrire ces lignes, les deux applications Anatsa dropper découvertes par Zscaler ont été supprimées de Google Play.