Η Google έχει διαγράψει εκατομμύρια εφαρμογές από το Play Store καθώς το Android αλλάζει δραστικά. Υπάρχει καταστολή στις εφαρμογές εκτός του επίσημου καταστήματος, ενώ και ασήμαντες εφαρμογές εντός του Play Store αφαιρούνται. Τώρα η Google επιβεβαίωσε ότι ακόμη περισσότερες εφαρμογές διαγράφηκαν, αφού εντοπίστηκε μια κρυφή απειλή που επιτίθεται σε τηλέφωνα Android.
Νέα προειδοποίηση για κακόβουλο λογισμικό
Η τελευταία προειδοποίηση προέρχεται από την Zscaler. Πρόκειται ξανά για το κακόβουλο λογισμικό Anatsa, γνωστό και ως TeaBot, το οποίο «επιτίθεται σε συσκευές Android και στοχεύει χρηματοοικονομικές εφαρμογές». Αυτή η επικίνδυνη απειλή «κλέβει διαπιστευτήρια, παρακολουθεί πληκτρολογήσεις και διευκολύνει δόλιες συναλλαγές».
Η ομάδα ThreatLabz της Zscaler δηλώνει ότι «η τελευταία παραλλαγή του Anatsa στοχεύει περισσότερα από 831 χρηματοπιστωτικά ιδρύματα παγκοσμίως» και ότι έχει «εντοπίσει και αναφέρει στη Google 77 κακόβουλες εφαρμογές από διάφορες οικογένειες malware, που συνολικά αντιστοιχούν σε πάνω από 19 εκατομμύρια εγκαταστάσεις».
Η Google ανέφερε ότι όλες οι εφαρμογές που εντοπίστηκαν από τη Zscaler έχουν διαγραφεί από το Play Store και ότι «η προστασία έναντι αυτών των εκδόσεων κακόβουλου λογισμικού υπήρχε ήδη μέσω του Google Play Protect πριν από αυτήν την αναφορά. Με βάση την τρέχουσα ανίχνευση, δεν υπάρχουν εφαρμογές που να περιέχουν αυτές τις εκδόσεις του κακόβουλου λογισμικού στο Google Play».
Προστασία με το Google Play Protect
Όσο το Google Play Protect είναι ενεργό -πράγμα που ισχύει από προεπιλογή- «οι χρήστες Android προστατεύονται αυτόματα από γνωστές εκδόσεις αυτού του κακόβουλου λογισμικού». Παράλληλα, θα πρέπει να διαγράψετε οποιεσδήποτε ασήμαντες εφαρμογές στη συσκευή σας που δεν είναι πλέον διαθέσιμες στο Play Store. Όσον αφορά το Anatsa, δώστε ιδιαίτερη προσοχή σε document readers.
Η Zscaler εξηγεί ότι «το Anatsa χρησιμοποιεί τεχνική dropper, όπου οι κυβερνοεγκληματίες χρησιμοποιούν μια παραπλανητική εφαρμογή στο επίσημο Google Play Store που φαίνεται ακίνδυνη κατά την εγκατάσταση. Μόλις εγκατασταθεί, το Anatsa κατεβάζει σιωπηρά ένα κακόβουλο φορτίο μεταμφιεσμένο σε ενημέρωση από τον server εντολών και ελέγχου (C2). Αυτή η μέθοδος επιτρέπει στο Anatsa να παρακάμπτει τους μηχανισμούς ανίχνευσης του Google Play Store και να μολύνει με επιτυχία συσκευές.»
Πώς κλέβει δεδομένα το Anatsa
Όταν εγκαθιστάτε τον dropper, το κακόβουλο λογισμικό εκτελεί μια σειρά από ελέγχους ώστε να αποφύγει μηχανές ανάλυσης ή λογισμικό ασφαλείας. Κάνει το καλύτερο δυνατό για να διασφαλίσει ότι έχει «καθαρό δρόμο» στη συσκευή πριν φορτώσει το κακόβουλο περιεχόμενο.
Το Anatsa εμφανίζει ψεύτικες σελίδες σύνδεσης για εφαρμογές τραπεζών ανά τον κόσμο. «Αυτές οι σελίδες προσαρμόζονται με βάση τις εφαρμογές χρηματοοικονομικών ιδρυμάτων που εντοπίζονται στη συσκευή του χρήστη.» Τα διαπιστευτήρια στη συνέχεια κλέβονται, επιτρέποντας απομακρυσμένες επιθέσεις.
Τι πρέπει να κάνουν οι χρήστες Android
Το Anatsa είναι μόνο μία από τις απειλές που έχει εντοπίσει η Zscaler και αναφέρει στη Google. Όλες οι εφαρμογές που αναφέρθηκαν έχουν διαγραφεί, αλλά αυτό δεν σημαίνει ότι δεν βρίσκονται ακόμα στη συσκευή σας -γι’ αυτό πρέπει να δράσετε άμεσα και να ελέγξετε.
Ένας εύκολος τρόπος είναι να ξεκινήσετε με τα δικαιώματα εφαρμογών, ειδικά τις υπηρεσίες προσβασιμότητας, ώστε να εντοπίσετε πιθανές απειλές.
«Οι χρήστες Android θα πρέπει πάντα να ελέγχουν τα δικαιώματα που ζητούν οι εφαρμογές και να διασφαλίζουν ότι αυτά ευθυγραμμίζονται με τη λειτουργικότητα που ισχυρίζεται η εφαρμογή ότι παρέχει.»