Volgens rapporten gepubliceerd door ThreatFabric waren er meer dan 300.000 downloads door nietsvermoedende gebruikers van Android-apps in de Google Play Store die bankgegevens stalen. Deze ogenschijnlijk ongevaarlijke apps deden zich voor als QR-scanners, cryptocurrency-portefeuilles en PDF-scanners, en stalen op kwaadaardige wijze gevoelige financiële gegevens. Gebruikersgegevens zoals wachtwoorden, tweefactorauthenticatiecodes, geregistreerde toetsaanslagen van gebruikers en nog veel meer werden uiteindelijk gestolen door deze apps die voornamelijk onder vier malwarefamilies vallen, namelijk Anatsa, Alien, Hydra en Ermac. Google heeft geprobeerd dit probleem te bestrijden door een aantal beperkingen in te voeren die erop gericht zijn de verspreiding van dergelijke apps te beteugelen. Dit heeft op zijn beurt geleid tot de ontwikkeling van ingenieuze methoden om de beveiligingsbeperkingen van de Google Play Store te omzeilen door de geesten achter deze malware.
Zoals uitgelegd door ThreatFabric, wordt malware-inhoud niet rechtstreeks via Google Play Store geïntroduceerd, waardoor detectie vermijden. Gebruikers worden door deze apps verleid om aanvullende updates van externe bronnen te downloaden. De cybercriminelen zijn zo ver gegaan dat ze het downloaden van dergelijke updates handmatig hebben gestart nadat ze de locatie van de apparaten hebben gevolgd waarop deze apps zijn gedownload.
Sommige van de schadelijke apps die door de cyberbeveiligingsexperts zijn geïdentificeerd, zijn QR Scanner, QR Scanner 2021, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker, PDF Document Scanner, PDF Document Scanner Free en Gym and Fitness Trainer.
Van de vier belangrijkste families van malware, met meer dan 100.000 downloads staat Antasa bovenaan de lijst. Het grote aantal downloads en goede recensies, evenals de behoorlijke functionaliteit van de apps zelf, gaven ze een schijn van legitimiteit. Na te zijn gedownload uit de Google Play Store, vroegen deze apps gebruikers echter om aanvullende inhoud van derden te downloaden om te kunnen worden gebruikt. Dit bleek malware te zijn die na installatie gevoelige financiële details kon stelen en alle activiteiten op het scherm van het apparaat kon vastleggen.
In een blogbericht van Google, heeft het bedrijf de maatregelen beschreven die het heeft genomen om dergelijke schadelijke apps, waaronder het beperken van de hoeveelheid toegang die de ontwikkelaars hebben tot gevoelige informatie. Volgens een test van juli door het Duitse IT-beveiligingsinstituut AV-Test biedt Google Play Protect echter niet een voldoende hoog beveiligingsniveau, vooral in vergelijking met de prominente anti-malwareprogramma’s op de markt. Er zijn ongeveer 20.000 schadelijke apps getest en slechts ongeveer tweederde van hen kon worden gedetecteerd.
