بدافزار اندروید ۱۵۰ هزار بار از طریق گوگل پلی دانلود شده است
بدافزار Anatsa از طریق آلوده کردن دستگاههای اندرویدی با برنامههای مخربی که در گوگل پلی میزبانی میشوند، کاربران اروپا را هدف قرار داده است. در چهار ماه قبل، محققان امنیتی متوجه پنج کمپینی شدند که جهت ارائه بدافزار به کاربران در بریتانیا، آلمان، اسپانیا، اسلواکی، اسلوونی و جمهوری چک راهاندازی شده بودند.
محققان در شرکت ThreatFabric متوجه افزایش فعالیت Anatsa از ماه نوامبر با حداقل ۱۵۰۰۰۰ بار دانلود شدهاند. گزارش ThreatFabric حاکی از این است که اپلیکیشنهای dropper یک فرآیند چند مرحلهای را پیادهسازی میکنند. این اپلیکیشنها به منظور دور زدن اقدامات امنیتی موجود در نسخههای سیستم عامل تا اندروید ۱۳ توسعه یافتهاند.
در تابستان قبل، ThreatFabric درباره یک کمپین Anatsa متمرکز در اروپا هشدار داده است. این کمپین از برنامههای dropper میزبانی شده در گوکل استفاده کرده است که بیشتر برنامههای نمایشگر pdf بودهاند. در جدیدترین کمپین Anatsa، اپراتورهای بدافزار، وعده آزاد کردن فضای دستگاه با حذف فایلهای غیر ضروری به کاربران را ارائه میدهند. محققان ThreatFabric اپلیکیشنی به نام Phone Cleaner – File Explorer را مثال زدهاند که بیشتر از ۱۰۰۰۰ بار دانلود شده است. چند برنامه مخرب گوگل پلی شامل موارد زیر است:
- PDF Viewer File Explorer
- PDF Reader
- Phone Cleaner File Explorer
با انتشار این خبر، گوگل تمام برنامههای Anatsa را به جزء PDF Reader که هنوز در دسترس است، از فروشگاه گوگل پلی اندروید حذف کرد. موقع نصب برنامههای جدید توصیه میشود که فهرست مجوزهای درخواستی را بررسی کنید و مجوزهای غیرمرتبط با هدف برنامه را نپذیرید( به عنوان مثال، برنامه ویرایش عکس احتیاجی به دسترسی به میکروفون ندارد). این مجوزها می توانند جزو تهدیدات احتمالی بدافزارها شناخته شوند.
گسترش کمپین آناتسا، با خطر کلاهبرداری مالی همراه است. به کاربران اندروید پیشنهاد میشود که قبل از نصب یک برنامه، نظر کاربران و…. را با دقت بررسی کنند. طبق اطلاعات به دست آمده، تمام برنامههای مخرب شناسایی شده از گوگل پلی حذف شدهاند. کاربران اندروید به صورت خودکار در برابر نسخههای این بدافزار توسط Google Play Protect محافظت میشوند. این قابلیت در اندروید به صورت پیشفرض فعال است. Google Play Protect به کاربران هشدار میدهد که برنامههای مخرب را مسدود کنند؛ حتی وقتی منبع دانلود و نصب این برنامهها گوگل پلی نیست.