Tujuh puluh tujuh aplikasi Android berbahaya dengan lebih dari 19 juta instalasi memberikan banyak keluarga malware kepada pengguna Google Play.
Infiltrasi malware ini ditemukan oleh Ancaman Zscaler Tim saat menyelidiki gelombang infeksi baru dengan Anatsa (teh bot) Trojan yang menargetkan perangkat Android.
Sementara sebagian besar aplikasi jahat (lebih dari 66%) termasuk komponen adware, malware Android yang paling umum adalah Joker, yang ditemui oleh para peneliti di hampir 25% dari aplikasi yang dianalisis.
Setelah Joker Malware diinstal pada perangkat, dapat membaca dan mengirim pesan teks, mengambil tangkapan layar, melakukan panggilan telepon, dan mencuri daftar kontak, mengakses informasi perangkat, dan berlangganan pengguna ke layanan premium.
Persentase yang lebih kecil dari aplikasi termasuk Maskware, istilah yang digunakan untuk mendefinisikan aplikasi jahat yang menyamarkan dirinya sebagai sesuatu yang tidak akan menimbulkan kecurigaan.
Jenis malware ini dapat berpose sebagai aplikasi yang sah yang berfungsi seperti yang diiklankan. Namun, ia melakukan aktivitas berbahaya di latar belakang, seperti mencuri kredensial, info perbankan, atau data sensitif lainnya (lokasi, SMS). Penjahat dunia maya juga dapat menggunakan Maskware untuk mengirimkan malware lainnya.
Peneliti Zscaler juga menemukan varian malware Joker yang disebut Harly, yang datang sebagai aplikasi yang sah yang memiliki muatan berbahaya tersembunyi lebih dalam dalam kode untuk menghindari deteksi selama proses peninjauan.
Dalam sebuah laporan di bulan Maret, keamanan manusia kata para peneliti Harly itu bisa bersembunyi di aplikasi populer, seperti game, wallpaper, senter, dan editor foto.
Anatsa Trojan terus berkembang
Menurut ZScaler, versi terbaru dari Anatsa Banking Trojan telah memperluas ruang lingkup penargetannya, meningkatkan jumlah aplikasi perbankan dan cryptocurrency menjadi 831, dari 650 sebelumnya, bahwa ia berusaha mencuri data dari.
Operator malware menggunakan aplikasi bernama ‘Document Reader – File Manager’ sebagai umpan, yang hanya mengunduh muatan Anatsa jahat setelah instalasi, untuk menghindari tinjauan kode Google.
Sumber: Zscaler
Kampanye terbaru telah beralih dari pemuatan kode dinamis jarak jauh yang digunakan di masa lalu untuk mengarahkan instalasi muatan langsung, membongkar file JSON, dan kemudian menghapusnya.
Dalam hal penghindaran, ia menggunakan arsip APK yang salah untuk memecahkan analisis statis, dekripsi string berbasis runtime DES, dan deteksi emulasi. Nama paket dan hash juga diubah secara berkala.
Sumber: Zscaler
Dari segi kemampuan, Anatsa menyalahgunakan izin aksesibilitas di Android ke hak istimewa secara otomatis.
Ini mengambil halaman phishing dari servernya untuk lebih dari 831 aplikasi, sekarang juga mencakup Jerman dan Korea Selatan, sementara modul Keylogger juga telah ditambahkan untuk pencurian data generik.
Kampanye Anatsa terbaru ini mengikuti gelombang lain baru -baru ini yang ditemukan oleh Ancaman Fabric pada bulan Juli, di mana Trojan menyelinap ke Google Play yang menyamar sebagai penampil PDF, mencapai lebih dari 50.000 unduhan.
Kampanye Anatsa yang lebih tua termasuk serangan pembaca kode PDF dan QR pada Mei 2024 yang dicapai 70.000 infeksiserangan pembersih telepon dan PDF pada bulan Februari 2024 yang mendapat 150.000 unduhandan serangan pemirsa PDF lainnya pada bulan Maret 2023 yang mencapai 30.000 pemasangan.
Gelombang aplikasi berbahaya di Google Play
Selain aplikasi Anatsa jahat, Zscaler menemukan kali ini, sebagian besar adalah keluarga adware, diikuti oleh ‘Joker,’ ‘Harly,’ dan berbagai maskware.
“Ancriplabz mengidentifikasi kenaikan tajam dalam aplikasi adware di Google Play Store bersama malware, seperti Joker, Harly, dan Banking Trojan seperti Anatsa,” jelas peneliti ZScaler Himanshu Sharma
“Sebaliknya, ada penurunan nyata dalam keluarga malware seperti Facestealer dan Coper.”
Alat dan aplikasi personalisasi menyumbang lebih dari setengah umpan yang digunakan untuk menyebarkan aplikasi tersebut, sehingga kedua kategori ini, bersama dengan hiburan, fotografi, dan desain, harus diperlakukan sebagai risiko tinggi.
Secara total, 77 aplikasi jahat, termasuk yang berisi Anatsa, diunduh 19 juta kali dari Google Play.
Zscaler melaporkan bahwa Google menghapus semua aplikasi jahat yang mereka temukan kali ini dari Play Store setelah pelaporan mereka.
Pengguna Android harus memastikan layanan Play Protect mereka aktif di perangkat mereka untuk menandai aplikasi berbahaya untuk dihapus.
Dalam hal infeksi Anatsa Trojan, langkah-langkah terpisah perlu diambil dengan bank untuk melindungi akun e-banking atau kredensial yang berpotensi dikompromikan.
Untuk meminimalkan risiko dari pemuat malware di Google Play, hanya mempercayai penerbit yang memiliki reputasi baik, baca setidaknya beberapa ulasan pengguna, dan hanya memberikan izin yang secara langsung terkait dengan fungsionalitas inti aplikasi.
