Istraživači iz cybersecurity kompanije ThreatFabric ukazali su da se na Google Play Store-u nalaze popularne aplikacije sa ugrađenim malware kodom, koje je do sada instaliralo više od 300.000 korisnika. Te aplikacije sadrže „bankarske trojance“ koji kradu brojeve kreditnih kartica korisnika.
Prema navodima ThreatFabric-a, na ovaj način se šire četiri različite vrste malware-a, a zaražene aplikacije se odnose na skeniranje dokumenata, čitanje QR kodova, fitnes monitore i aplikacije za rudarenje kriptovaluta na telefonima. Interesantno je da sve te aplikacije zaista rade to što bi trebalo, kao i da imaju veliki broj dobrih ocjena korisnika.
Način na koji se malware aktivira je sledeći: U okviru naizgled legalne aplikacije nalazi se skriveni kod koji se aktivira određeni vremenski period po instalaciji aplikacije. Taj period može da varira od nekoliko dana do nekoliko nedelja, pa čak i mjeseci. Na taj način se efikasno izbjegava detekcija malware-a prilikom prijave na Play Store.
Od pomenute četiri familije malware-a, na ovaj način je najaktivnija Antasa. Ona je zarazila više od 200.000 Android telefona. U pitanju je napredni trojanac koji krade korisničke kredencijale u bankarskim aplikacijama i snima sadržaje ekrana, dok ugrađeni keylogger prikuplja sve što korisnik ukuca u telefon. Ovaj malware je aktivan od januara, ali je značajan skok njegove aktivnosti zabilježen od juna ove godine. Istraživači su do sada otkrili šest različitih aplikacija koje su dizajnirane da na skriveni način instaliraju malwer na telefone korisnika. Prilikom inicijalnog download-a, te aplikacije su „čiste“. Međutim, posle nekog vremena zahtevaju od korisnika update kako bi nastavile da rade, a taj update u sebi nosi zaraženu verziju aplikacije.
Drugi malware, gledajući po broju zaraza, je Alien. On je u stanju da „ukrade“ podatke o dvofaktorskoj verifikaciji korisnika na platne sisteme, čime otvara pristup hakerima do bankovnih sistema korisnika. Aplikacije sa ovim malware-om skinute su 95.000 puta. Iza pojedinih aplikacija koje nose ovaj malware stoji čitava infrastruktura. Na primer uz jednu fitness aplikaciju postoji web sajt podrške koji je dizajniran da joj podigne legitimitet. I u ovom slučaju, inicijalna instalacija aplikacije ne sadrži malware, koji se dobija tek uz lažni update. Interesantno je da se malware nalazi u okviru dodatnog paketa vežbi, koji je komercijalnog tipa – drugim riječima korisnici moraju da plate da instaliraju ovaj malware. Ma koliko ovo zvučalo suludo, ovakav pristup daje novi nivo „legitimnosti“ aplikaciji.
Preostale dvije forme malware, nazvane Hydra i Ermac, pojavile su se nedavno i do sada su zarazile oko 15.000 telefona. Ove aplikacije ThreatFabric je povezao sa kriminalnom grupom Brunhilda, koja je specijalizovana za krađu bankarskih informacija.