Anatsa: Die schleichende Bedrohung im Google Play Store – Eine alarmierende Entwicklung der Malware

Die IT-Sicherheitsforscher von Zscalers ThreadLabz beobachten den Google Play Store genau und analysieren dabei vor allem die Verbreitung schädlicher Anwendungen, mit einem besonderen Fokus auf die Malware Anatsa, auch bekannt als Teabot. Erstmals entdeckt im Jahr 2020, hat sich diese Bedrohung seitdem enorm weiterentwickelt. Zscaler beschreibt in ihrer Analyse, wie Anatsa ursprünglich als Banking-Trojaner agierte, der Zugangsdaten stehlen, Keylogging betreiben und Betrugshandlungen durchführen konnte. Die aktuelle Form hingegen kann ganze 831 Finanzinstitutionen weltweit angreifen, darunter neu hinzugekommene Institute in Deutschland und Südkorea sowie Kryptomünzen-Plattformen. Um die Auslieferung des bösartigen Codes zu optimieren, haben die Entwickler Anatsa vereinfacht, indem sie das dynamische Laden von Dalvik-Executable-Payloads (DEX) aus dem Netz durch die direkte Installation des Anatsa-Codes ersetzt haben. Dadurch umgeht die Malware die Erkennungsmechanismen im Play Store und kann Geräte erfolgreich infizieren. Ein entscheidender Faktor in diesem Prozess ist die Manipulation von Archivstrukturen. Zscaler identifizierte die Verwendung eines defekten Archivs, das eine DEX-Datei versteckt, die erst zur Laufzeit aktiviert wird. Standard-ZIP-Tools können aufgrund dieses Defekts die Datei nicht analysieren, wodurch Anatsa unerkannt bleibt. Um Zugangsdaten zu stehlen, zeigt Anatsa gefälschte Login-Seiten an, die vom Command-and-Control-Server heruntergeladen werden und maßgeschneidert auf die Finanzinstitute der jeweiligen Applikation zugeschnitten sind. Das Zscaler-Team identifizierte vier wichtige Indikatoren (IOCs) für eine Infektion mit Anatsa. Eine vollständige Liste der 77 betroffenen Apps wurde allerdings nicht veröffentlicht, da diese nach Meldung an Google offenbar nicht mehr im Play Store verfügbar sind und durch Google Play Protect automatisch von Smartphones im Google-Kosmos entfernt wurden. Im vergangenen Jahr hatte Zscaler bereits einen Lagebericht veröffentlicht, in dem das Auffinden von über 200 bösartigen Apps im Google Play Store vermeldet wurde. Diese kamen jedoch lediglich auf 8 Millionen Installationen. Die aktuelle Entwicklung zeigt eine mehr als verdoppelte Zahl an Installationen und unterstreicht die zunehmende Verbreitung und Bedrohlichkeit dieser Malware im Android-Ökosystem.

Schlagwörter: Anatsa + Google Play Store + ThreadLabz

Wie bewerten Sie den Schreibstil des Artikels?