Cheval de Troie bancaire pour Android, Anatsa est autrement connu en tant que TeaBot et cible plusieurs centaines d'applications d'institutions financières, principalement en Europe, aux États-Unis, au Royaume-Uni et plus récemment en Asie.
Une fois installé, Anatsa exfiltre des identifiants bancaires et d'autres informations sensibles. Il procède en s'appuyant sur une interception des données via des techniques de superposition d'écran et en contournant des paramètres du service d'accessibilité.
Après les chercheurs de ThreatFabric en début d'année, ce sont ceux de Zscaler ThreatLabz qui se penchent sur ce nuisible sophistiqué. Des campagnes d'attaque usurpent l'identité d'applications de lecture PDF et de code QR pour distribuer le malware dans le Google Play Store.
En toute discrétion
Le rapport de Zscaler donne l'exemple de deux applications PDF Reader & File Manager et QR Reader & File Manager avec plus de 70 000 installations lors de l'analyse. Ce n'est qu'ultérieurement et sous l'apparence d'une mise à jour que l'application télécharge une charge utile malveillante depuis un serveur de commande et de contrôle.
Dans le but d'échapper à la détection, les chercheurs détaillent un mécanisme de chargement de la charge utile reposant sur plusieurs étapes. Il implique un fichier DEX contenant un code malveillant et une activation sur l'appareil, puis au final l'installation d'APK.
Le malware communique avec le serveur pour enregistrer l'appareil infecté et récupérer une liste d'applications financières ciblées, afin de recevoir les fausses pages de connexion à injecter.
Le ménage a été fait sur Google Play
Les deux applications piégées avec Anatsa et découvertes par Zscaler ne sont plus présentes dans le Google Play Store.
" Au cours des derniers mois, nous avons identifié et analysé plus de 90 applications malveillantes mise en ligne sur le Google Play Store. Collectivement, elles ont recueilli plus de 5,5 millions d'installations ", écrivent tout de même les chercheurs de Zscaler ThreatLabz.
Après la confirmation d'applications malveillantes, ou pour des violations graves et répétées des règles, Google a banni en 2023 environ 333 000 comptes de Google Play. Un chiffre qui a quasiment doublé en un an.
