Egyes, a Google Play Áruházból az elmúlt hónapokban letöltött alkalmazásokat felfedezték, amelyek ellopták az Android-felhasználók banki hitelesítő adatait.
A ThreatFabric új jelentése szerint az elmúlt négy hónapban négy különböző fenyegetési kampány terjedt el a Google Play Áruházban található alkalmazásokon keresztül. A szóban forgó alkalmazásokat – amelyek QR-szkennerek, PDF-szkennerek és kriptovaluta pénztárcák – állítólag több mint 300 000 alkalommal töltötték le, és hozzáférhettek felhasználói jelszavakhoz és kétfaktoros hitelesítési kódokhoz.
Az alkalmazások állítólag képesek voltak megkerülni a Google Play biztonsági rendszereit azáltal, hogy eleinte egy normál, jóindulatú alkalmazást kínáltak, de rosszindulatú programokat juttattak el azokhoz a felhasználókhoz, akik frissítéseket töltöttek le az alkalmazáshoz.
"Ami miatt ezek a Google Play-terjesztési kampányok nagyon nehezen észlelhetők automatizálási (sandbox) és gépi tanulási szempontból, az az, hogy a dropper alkalmazásoknak nagyon kicsi a rosszindulatú lábnyoma" - mondták a jelentésben a ThreatFabric mobilbiztonsági vállalat kutatói.. "Ez a kis helyigény a Google Play által bevezetett engedélykorlátozások (közvetlen) következménye."
A ThreatFabric négy különböző kártevőcsaládot részletez, amelyek felelősek: Hydra, Ermac, Alien és a négy közül a legnagyobb, az Anatsa. A jelentés leírja, hogy Anatsa képes "klasszikus átfedéses támadásokat végrehajtani hitelesítő adatok ellopása, kisegítő lehetőségek naplózása (mindent rögzít, ami a felhasználó képernyőjén megjelenik) és billentyűnaplózás"
A szóban forgó alkalmazások közé tartozik többek között a PDF Document Scanner Free, az ingyenes QR Code Scanner, a QR CreatorScanner és a Gym and Fitness Trainer. Az első ilyen alkalmazások 2021. augusztus eleje és 2021. október vége között jelentek meg a Google Play Áruházban.
Úgy tűnik, hogy a Google Play Áruház folyamatosan belefut az ehhez hasonló rosszindulatú alkalmazásokba, és egy 2020-as jelentés megerősítette, hogy az alkalmazásbolt a rosszindulatú alkalmazások fő forgalmazója. A NortonLifelock Research Group és az IMDEA Software Institute jelentése szerint a rosszindulatú alkalmazástelepítések 67 százaléka a Google Play Áruházból származik.
A tanulmány azonban fontos megjegyzést tesz, hogy az összes alkalmazástelepítés 87 százaléka magából a Play Áruházból származik, így mérete és tömeges népszerűsége valószínűleg hozzájárul ahhoz, hogy több problémába ütközzen, mint a versenytársak, például az Apple App Store-ból.
