Algunes aplicacions baixades de Google Play Store durant els últims mesos s'han descobert que robaven les credencials bancàries dels usuaris d'Android.
Segons un nou informe de ThreatFabric, durant els últims quatre mesos s'han repartit quatre campanyes d'amenaça diferents a través d'aplicacions a Google Play Store. S'ha informat que les aplicacions en qüestió, que es presenten com a escàners QR, escàners PDF i carteres de criptomoneda, s'han descarregat més de 300.000 vegades i és possible que hagin tingut accés a contrasenyes d'usuari i codis d'autenticació de dos factors.
Les aplicacions van poder evitar els sistemes de seguretat de Google Play oferint al principi una aplicació normal i benigna, però van introduir programari maliciós als usuaris que baixaven actualitzacions de l'aplicació.
"El que fa que aquestes campanyes de distribució de Google Play siguin molt difícils de detectar des d'una perspectiva d'automatització (sandbox) i d'aprenentatge automàtic és que totes les aplicacions dropper tenen una petjada maliciosa molt petita", van dir els investigadors de l'empresa de seguretat mòbil ThreatFabric a l'informe.. "Aquesta petita empremta és una conseqüència (directa) de les restriccions de permisos aplicades per Google Play."
ThreatFabric detalla quatre famílies de programari maliciós diferents responsables: Hydra, Ermac, Alien i la més gran de les quatre, Anatsa. L'informe descriu que Anatsa és capaç de "realitzar atacs de superposició clàssics per robar credencials, registre d'accessibilitat (capturant tot el que es mostra a la pantalla de l'usuari) i registre de tecles".
Les aplicacions en qüestió inclouen PDF Document Scanner Free, Free QR Code Scanner, QR CreatorScanner i Gym and Fitness Trainer, entre d' altres. La primera d'aquestes aplicacions va aparèixer a la botiga de Google Play entre principis d'agost de 2021 i finals d'octubre de 2021.
La botiga Google Play sembla trobar-se constantment amb aplicacions malicioses com aquestes, i un informe del 2020 va confirmar que la botiga d'aplicacions és el principal distribuïdor d'aplicacions malicioses. Segons un informe del Grup de Recerca NortonLifelock i l'Institut de programari IMDEA, el 67% de les instal·lacions d'aplicacions malicioses es van originar a Google Play Store.
No obstant això, l'estudi fa una nota important que el 87% de totes les instal·lacions d'aplicacions provenen de la mateixa Play Store, de manera que la seva mida i popularitat massiva probablement contribueixin a que tingui més problemes que competidors com l'App Store d'Apple..