Lebih dari 90 aplikasi Android jahat, termasuk trojan perbankan Anatsa, ditemukan di Google Play, secara kolektif mengumpulkan 5,5 juta instalasi. Anatsa, juga dikenal sebagai “Teabot,” secara khusus menargetkan lembaga keuangan di Eropa, AS, Inggris, dan Asia, dengan tujuan mencuri kredensial e-banking untuk transaksi penipuan. Laporan Threat Fabric pada Februari 2024 menyoroti kebangkitan Anatsa, menginfeksi setidaknya 150.000 perangkat melalui Google Play sejak akhir tahun lalu, menggunakan aplikasi tipuan dalam kategori produktivitas. Selain itu, kerentanan “Zero Day Check Point VPN” telah dimanfaatkan sejak 30 April.
Temuan terbaru oleh Zscaler mengungkapkan kembalinya Anatsa di Google Play melalui dua aplikasi tipuan: ‘PDF Reader & File Manager’ dan ‘QR Reader & File Manager,’ yang mengumpulkan 70.000 instalasi. Kembalinya ini menyoroti tantangan dalam proses peninjauan Google, dengan mekanisme pemuatan payload multi-tahap Anatsa membantu penyelinapannya dari deteksi. Aplikasi penyelinap Anatsa beroperasi melalui empat langkah, termasuk mengambil konfigurasi dari server C2, mengaktifkan kode penyelinap jahat, mengunduh file konfigurasi dengan URL payload Anatsa, dan mengunduh/memasang payload malware, sambil melakukan pemeriksaan anti-analisis. Setelah diimplementasikan, Anatsa mengunggah konfigurasi bot dan hasil pemindaian aplikasi, kemudian mengunduh suntikan yang disesuaikan dengan lokasi dan profil korban. Meskipun Anatsa dan Coper hanya menyumbang 3% dari unduhan jahat secara keseluruhan, mereka merupakan ancaman yang signifikan karena penipuan di perangkat dan pencurian informasi sensitif. berikut ilustrasinya (Google Play malware (kiri) and dropper app types (kanan):
Penelitian Zscaler mengidentifikasi lebih dari 90 aplikasi jahat di Google Play dalam beberapa bulan terakhir, mencakup berbagai kategori seperti alat, personalisasi, utilitas fotografi, produktivitas, dan kesehatan & kebugaran. Keluarga malware dominan termasuk Joker, Facestealer, Anatsa, Coper, dan berbagai varian adware. Rekomendasi untuk pengguna termasuk meninjau izin aplikasi sebelum instalasi, terutama yang terkait dengan aktivitas berisiko tinggi seperti Layanan Aksesibilitas, SMS, dan akses daftar kontak. Meskipun nama-nama 90+ aplikasi jahat tidak diungkapkan, Zscaler mengkonfirmasi penghapusan dua aplikasi penyelinap Anatsa dari Google Play, meskipun tidak jelas apakah mereka dilaporkan untuk dihapus.
Image source: https://www.bleepstatic.com/content/hl-images/2024/05/03/Android.jpg
