Il colosso di Mountain View si trova ancora una volta al centro di una grave falla di sicurezza che ha coinvolto milioni di utenti Android in tutto il mondo. Gli esperti di cybersicurezza di Zscaler ThreatLabs hanno scoperto un'operazione criminale di vaste proporzioni che ha utilizzato il Google Play Store come veicolo principale per la distribuzione di malware sofisticati, raggiungendo oltre 19 milioni di installazioni attraverso settantasette applicazioni apparentemente innocue. L'indagine, iniziata per tracciare le infezioni del trojan bancario Anatsa, ha rivelato un ecosistema criminale ben più complesso e articolato di quanto inizialmente previsto.
La ricerca condotta dai laboratori di sicurezza ha portato alla luce un fenomeno preoccupante: diverse app-esca contenenti il malware Anatsa sono riuscite a superare i controlli di Google, registrando ciascuna più di 50.000 download. Questi numeri testimoniano l'efficacia delle tecniche di camuffamento utilizzate dai cybercriminali, che sono riusciti a eludere i sistemi automatizzati di rilevamento delle minacce implementati dalla piattaforma di distribuzione ufficiale di Android.
L'evoluzione del trojan bancario Anatsa
Anatsa, precedentemente noto come TeaBot, rappresenta oggi una delle minacce più sofisticate nel panorama dei malware per dispositivi mobili. Dalla sua prima apparizione nel 2020, questo trojan bancario ha subito un'evoluzione tecnologica impressionante, trasformandosi da una minaccia regionale in un pericolo globale capace di colpire 831 istituzioni finanziarie distribuite in diversi continenti. La sua capacità di adattamento ha permesso l'espansione verso mercati precedentemente inesplorati, inclusi paesi strategici come Germania e Corea del Sud.
Una caratteristica distintiva delle versioni più recenti di Anatsa è l'abbandono del caricamento dinamico del codice, una tecnica che in passato rendeva il malware più complesso da implementare ma anche più rilevabile. Gli sviluppatori criminali hanno optato per un approccio diretto nell'installazione del payload, rendendo le infezioni significativamente più rapide ed efficaci. Questa modifica architettonica ha comportato anche l'implementazione di sistemi di crittografia DES e restrizioni specifiche per tipologie di dispositivi, strategie mirate a evitare il rilevamento da parte dei sistemi di sicurezza.
Le tecniche anti-analisi implementate dalle versioni più recenti includono la decrittazione runtime di ogni stringa utilizzando chiavi DES generate dinamicamente, rendendo l'analisi statica estremamente complessa. Il malware esegue inoltre verifiche di emulazione e controlli specifici sui modelli di dispositivi per aggirare gli ambienti di analisi dinamica utilizzati dai ricercatori di sicurezza.
Strategie di evasione e distribuzione
Il modus operandi di Anatsa prevede una fase di verifica preliminare in cui il malware controlla l'attività del server di comando e controllo e valuta se il dispositivo target soddisfa i criteri necessari per l'infezione. Solo dopo questa validazione procede al download del payload principale sotto forma di aggiornamento apparentemente legittimo. In caso contrario, l'applicazione presenta all'utente un'interfaccia di file manager perfettamente funzionale, mantenendo l'apparenza di un software genuino.
Le capacità di evasione del malware si estendono alla manipolazione periodica dei nomi dei pacchetti e degli hash identificativi, accompagnata dall'utilizzo di tecniche di offuscamento APK ZIP. I payload DEX vengono nascosti in archivi malformati specificatamente progettati per eludere gli strumenti di analisi statica utilizzati dai sistemi di sicurezza tradizionali.
Una volta installato, Anatsa richiede permessi di accessibilità che gli consentono di abilitare automaticamente privilegi pericolosi senza l'intervento consapevole dell'utente. Il malware stabilisce quindi comunicazioni crittografate XOR con i server di comando e controllo, preparando il terreno per le sue attività criminali principali: la cattura di credenziali bancarie attraverso pagine di login falsificate create su misura per le applicazioni rilevate sul dispositivo.
Secondo i dati raccolti da ThreatLabz, il panorama delle minacce su Google Play sta registrando cambiamenti significativi. Mentre si osserva un incremento preoccupante di adware e malware come Joker, Harly e Anatsa, altre famiglie di malware come Facestealer e Coper mostrano un declino marcato nelle attività di distribuzione.
Gli esperti sottolineano come Anatsa continui a evolversi implementando tecniche anti-analisi sempre più sofisticate per migliorare le capacità di evasione. Il malware ha recentemente aggiunto il supporto per oltre 150 nuove applicazioni finanziarie, ampliando significativamente la sua superficie di attacco. La ricerca dimostra l'efficacia delle tecniche utilizzate da Anatsa e altre famiglie di malware Android per la distribuzione attraverso lo store ufficiale, evidenziando la necessità per gli utenti di verificare attentamente i permessi richiesti dalle applicazioni e di assicurarsi che siano coerenti con le funzionalità dichiarate del software.