Anatsa Android Trojan målretter mod ofre i USA og Europa

En nylig Android-malwarekampagne er blevet identificeret, der har til formål at distribuere Anatsa-banktrojaneren og målrette mod kunder fra finansielle institutioner i USA, Storbritannien, Tyskland, Østrig og Schweiz siden marts 2023.

Ifølge ThreatFabric har gruppen bag Anatsa til hensigt at stjæle login-legitimationsoplysninger brugt i mobilbankapps og engagere sig i Device-Takeover Fraud (DTO) for at udføre svigagtige transaktioner. Cybersikkerhedsfirmaet nævnte, at dropper-apps inficeret med Anatsa, som blev fundet i Google Play Butik, allerede har samlet over 30.000 installationer. Dette indikerer, at den officielle app-butik er blevet et effektivt middel til at distribuere malwaren.

Anatsa, også kendt som TeaBot og Toddler, dukkede oprindeligt op i begyndelsen af 2021 og er blevet observeret forklædte sig som harmløse hjælpeapps som PDF-læsere, QR-kodescannere og tofaktorautentificering (2FA) apps i Google Play Butik for at udtrække brugernes' legitimationsoplysninger. Det er siden blevet en af de mest udbredte banktrojanske heste og er rettet mod mere end 400 finansielle institutioner verden over.

Trojaneren har bagdørslignende egenskaber til at udtrække data og bruger overlejringsangreb til at stjæle legitimationsoplysninger og registrere brugeraktiviteter ved at udnytte Androids tilgængelighedstjenester API. Desuden kan den omgå eksisterende foranstaltninger til kontrol af svindel for at udføre uautoriserede pengeoverførsler.

ThreatFabric påpegede, at opdagelse af Anatsa har vist sig at være en udfordring for banksystemer til bekæmpelse af bedrageri, da de svigagtige transaktioner initieres fra den samme enhed, som regelmæssigt bruges af de målrettede bankkunder.

Anatsas funktionsmåde

I den nylige kampagne observeret af ThreatFabric sender dropper-appen, når den er installeret, en anmodning til en GitHub-side, der omdirigerer til en anden GitHub-URL, der hoster den ondsindede nyttelast. Målet er at bedrage ofrene ved at præsentere sig selv som app-tilføjelser. Det er mistanke om, at brugere ledes til disse apps gennem mistænkelige annoncer.

Et bemærkelsesværdigt kendetegn ved dropperen er dens udnyttelse af den begrænsede "REQUEST_INSTALL_PACKAGES"-tilladelse, som gentagne gange er blevet misbrugt af ondsindede apps distribueret gennem Google Play Butik til at installere yderligere malware på inficerede enheder. Navnene på de fem dropper-apps, der bruges i denne kampagne, er som følger:

• Alle dokumentlæser og editor (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Alle dokumentlæser og fremviser (com.muchlensoka.pdfcreator)
• PDF Reader - Rediger og se PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• PDF Reader & Editor (com.proderstarler.pdfsignature)
• PDF Reader & Editor (moh.filemanagerrespdf)

Alle disse dropper-apps er blevet opdateret efter deres første udgivelse, sandsynligvis som et forsøg på snigende at introducere ondsindet funktionalitet efter at have bestået appgennemgangsprocessen under den første indsendelse.

Landene af væsentlig interesse for Anatsa, baseret på antallet af målrettede finansielle ansøgninger, omfatter USA, Italien, Tyskland, Storbritannien, Frankrig, De Forenede Arabiske Emirater, Schweiz, Sydkorea, Australien og Sverige. Finland, Singapore og Spanien er også nævnt på listen over målrettede lande.