Recentemente, cinco aplicativos maliciosos que acumularam milhares de downloads foram removidos do Google Play depois que a empresa de pesquisa ThreatFabric publicou um relatório sobre eles.
Esses aplicativos continham o trojan bancário Anatsa e direcionaram usuários no Reino Unido, República Tcheca, Alemanha, Eslováquia, Eslovênia e Espanha. Inicialmente, os aplicativos visavam especificamente os usuários da Samsung, mas depois se tornaram independentes do fabricante.
A ThreatFabric, que foi a primeira a relatar sobre o ressurgimento do Anatsa, revelou os nomes dos aplicativos falsos para o Bleeping Computer. Os nomes dos aplicativos eram os seguintes:
- Limpador de telefone – Explorador de arquivos
- Visualizador de PDF – Explorador de arquivos
- Leitor de PDF – Visualizador e Editor
- Limpador de telefone: Explorador de arquivos
- Leitor de PDF: Gerenciador de arquivos
Os aplicativos falsos se disfarçaram como aplicativos de PDF e limpadores e foram projetados para alcançar o Top New Free charts, aumentando suas chances de serem baixados por usuários desavisados.
Acredita-se que esses aplicativos foram baixados entre 150 mil e 200 mil vezes antes de serem removidos da Play Store. Eles utilizaram um processo de vários estágios para infectar dispositivos sem a interação do usuário e evitar a detecção. Também utilizaram táticas sofisticadas, incluindo abuso do Serviço de Acessibilidade e contornando as configurações restritas do Android 13.
O trojan Anatsa possui recursos de Device Takeover (DTO), o que significa que ele pode assumir o controle de um dispositivo infectado e executar ações em seu nome. Ele pode roubar informações confidenciais do telefone e iniciar transações por conta própria.
Os aplicativos maliciosos já não estão mais disponíveis no Google Play, mas se você os tiver no seu telefone, será necessário excluí-los manualmente.
Para evitar ser vítima de tais aplicativos no futuro, faça uma verificação completa antes de baixar qualquer aplicativo, certificando-se de que ele seja de um desenvolvedor confiável. Além disso, verifique as permissões solicitadas, especialmente aquelas relacionadas ao Serviço de Acessibilidade.