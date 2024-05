Onderzoekers hebben in de Google Play Store twee malafide apps ontdekt die zich voordoen als pdf-reader en file manager, maar in werkelijkheid bankmalware installeren. De apps waren op het moment dat ze werden aangetroffen al meer dan 70.000 keer geïnstalleerd, zo laat securitybedrijf Zscaler weten. De apps, met de naam 'PDF Reader & File Manager' en QR Reader & File Manager' zijn zogenoemde dropper applicaties.

Dergelijke apps vragen slachtoffers bepaalde permissies, zoals toegang tot de Accessibility Service, het kunnen uitlezen van sms-berichten of het inschakelen van de installatie van onbekende apps. Dit maakt het installeren van de uiteindelijke malware mogelijk, zonder dat hiervoor nog verdere interactie van gebruikers voor is vereist. Apps met Accessibility Service permissies kunnen volledige zichtbaarheid over events van de gebruikersinterface krijgen, zowel bij systeem-apps als apps van derden.

Zo kunnen malafide apps deze service gebruiken voor keylogging, het zichzelf automatisch toekennen van extra permissies en het monitoren van apps in de voorgrond en daar overlay-vensters over plaatsen voor het uitvoeren van phishingaanvallen. Google heeft maatregelen genomen om misbruik van de Accessibility Service tegen te gaan, maar eind vorig jaar werd duidelijk dat criminelen daar een oplossing voor hebben gevonden.

In het geval van de twee malafide apps die Zscaler aantrof wordt Anatsa-bankmalware geïnstalleerd, waarmee criminelen vanaf de besmette telefoon bankfraude kunnen plegen. Eerder dit jaar waarschuwde ook securitybedrijf TheatFabric voor de aanwezigheid van malafide apps in de Play Store die de Anatsa-malware installeren. Volgens Threatfabric moeten banken hun klanten wijzen op de risico's van het installeren van applicaties, ook vanuit officiële appstores, en ze waarschuwen voor het inschakelen van de Accessibility Service bij apps die het niet nodig voor hun beoogde doel hebben.