Nárůst aktivity malwaru Anatsa, na který nedávno upozornila i společnost Eset, evidují bezpečnostní analytici z ThreatFabric už od loňského listopadu. Podle portálu BleepingComputer si všimli celkem pěti vln šíření tohoto trojského koně. Stejně jako v případě varování Esetu útočníci cílili na uživatele androidích zařízení, a to ve Velké Británii, Německu, Španělsku, Slovinsku, Slovensku a Česku. V tomto případě však nebezpečný malware uživatelé stáhli přímo z aplikačního obchodu Google Play.
V něm se podle nizozemských bezpečnostních specialistů maskoval jako falešné aplikace pro čtení či editaci PDF dokumentů nebo jako čistící aplikace slibující uvolnění místa v zařízení smazáním nepotřebných souborů. Falešné aplikace využívaly vícestupňový proces infikování zařízení a dokázaly obcházet bezpečnostních opatření Androidu. Vytvořeny byly navíc se záměrem, aby se objevily v žebříčku nejlepších aplikací v sekci Top New Free (To nejlepší za 0 Kč), což jim dodávalo na důvěryhodnosti a útočníkům se tak zvyšovala míra úspěšnosti.
Malware jim umožňoval převzít nad infikovaným zařízením plnou kontrolu a provádět na něm tak různé akce včetně krádeže citlivých informací či provádění bankovních transakcí. ThreatFabric zveřejnil seznam škodlivých aplikací:
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Například Phone Cleaner – File Explorer podle bezpečnostních expertů zaznamenala více než deset tisíc stažení, v případě aplikace PDF Reader: File Manager to bylo více než sto tisíc. Celkový počet stažení výše uvedených škodlivých aplikací se podle odhadu ThreatFabric blíží k dvěma stům tisíců. Potenciálně ohrožených však může být výrazně více androidích zařízení, Anatsa se v podobě podvržených mobilních aplikacích totiž objevuje ve stále nových útočných vlnách.
Pozor na to, co si do mobilu stahujete
Portál BleepingComputer v této souvislosti připomíná doporučení, aby si uživatelé androidích zařízení před instalací jakékoli mobilní aplikace pečlivě prošli hodnocení uživatelů a historii jejího tvůrce. Zároveň by se měli vyhnout aplikacím slibujícím například zvýšení výkonu či bezpečné zasílání zpráv, pokud nepocházejí od tvůrců se zavedenou pověstí.
Stejně tak se doporučuje při instalaci nových aplikací věnovat pozornost přehledu oprávnění, která příslušná aplikace vyžaduje, zejména ta týkající se služby usnadnění přístupu. Takovýto požadavek by měl být považován za varovný signál pro potenciální malwarovou hrozbu. Oprávnění, která nesouvisí s účelem aplikace, se doporučují odepřít (např. aplikace pro úpravu fotografií nepotřebuje přístup k mikrofonu).
Google v pondělí 19. února informoval, že všechny výše uvedené škodlivé aplikace ze svého aplikačního obchodu již odstranil. To však neznamená, že se již nenachází v řadě mobilních zařízení. Není mezi takovými i ten váš?