Der Android-Trojaner Anatsa zielt auf Opfer in den USA und Europa ab

Es wurde eine aktuelle Android-Malware-Kampagne identifiziert, die darauf abzielt, den Banktrojaner Anatsa zu verbreiten und seit März 2023 Kunden von Finanzinstituten in den USA, Großbritannien, Deutschland, Österreich und der Schweiz anzusprechen.

Laut ThreatFabric beabsichtigt die Gruppe hinter Anatsa, in Mobile-Banking-Apps verwendete Anmeldeinformationen zu stehlen und sich an Device-Takeover Fraud (DTO) zu beteiligen, um betrügerische Transaktionen durchzuführen. Das Cybersicherheitsunternehmen erwähnte, dass mit Anatsa infizierte Dropper-Apps, die im Google Play Store gefunden wurden, bereits über 30.000 Installationen angehäuft haben. Dies deutet darauf hin, dass der offizielle App Store zu einem wirksamen Mittel zur Verbreitung der Malware geworden ist.

Anatsa, auch bekannt als TeaBot und Toddler, tauchte ursprünglich Anfang 2021 auf und wurde im Google Play Store dabei beobachtet, wie es sich als harmlose Hilfs-Apps wie PDF-Reader, QR-Code-Scanner und Zwei-Faktor-Authentifizierungs-Apps (2FA) tarnte, um Benutzerdaten zu extrahieren. Referenzen. Seitdem hat er sich zu einem der am weitesten verbreiteten Banktrojaner entwickelt und zielt auf mehr als 400 Finanzinstitute weltweit ab.

Der Trojaner verfügt über Backdoor-ähnliche Fähigkeiten zum Extrahieren von Daten und nutzt Overlay-Angriffe, um Anmeldeinformationen zu stehlen und Benutzeraktivitäten aufzuzeichnen, indem er die Android-API für Barrierefreiheitsdienste ausnutzt. Darüber hinaus können bestehende Maßnahmen zur Betrugsbekämpfung umgangen werden, um nicht autorisierte Geldtransfers durchzuführen.

ThreatFabric wies darauf hin, dass sich die Erkennung von Anatsa für Banken-Betrugsbekämpfungssysteme als Herausforderung erwiesen hat, da die betrügerischen Transaktionen über dasselbe Gerät initiiert werden, das regelmäßig von den anvisierten Bankkunden verwendet wird.

Anatsas Funktionsweise

In der kürzlich von ThreatFabric beobachteten Kampagne sendet die Dropper-App nach der Installation eine Anfrage an eine GitHub-Seite, die zu einer anderen GitHub-URL weiterleitet, die die bösartige Nutzlast hostet. Ziel ist es, Opfer zu täuschen, indem sie sich als App-Add-ons ausgeben. Es besteht der Verdacht, dass Benutzer durch verdächtige Werbung auf diese Apps geleitet werden.

Ein bemerkenswertes Merkmal des Droppers ist die Ausnutzung der eingeschränkten Berechtigung „REQUEST_INSTALL_PACKAGES“, die wiederholt von über den Google Play Store verbreiteten Schad-Apps missbraucht wird, um zusätzliche Malware auf infizierten Geräten zu installieren. Die Namen der fünf in dieser Kampagne verwendeten Dropper-Apps lauten wie folgt:

• Alle Dokumentenleser und -editoren (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Alle Dokumentenleser und -betrachter (com.muchlensoka.pdfcreator)
• PDF Reader – PDF bearbeiten und anzeigen (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• PDF-Reader und -Editor (com.proderstarler.pdfsignature)
• PDF-Reader und -Editor (moh.filemanagerrespdf)

Alle diese Dropper-Apps wurden nach ihrer ersten Veröffentlichung aktualisiert, wahrscheinlich als Versuch, heimlich schädliche Funktionen einzuführen, nachdem der App-Überprüfungsprozess bei der ersten Einreichung erfolgreich bestanden wurde.

Zu den Ländern, die für Anatsa aufgrund der Anzahl der gezielten Finanzanträge von erheblichem Interesse sind, gehören die Vereinigten Staaten, Italien, Deutschland, das Vereinigte Königreich, Frankreich, die Vereinigten Arabischen Emirate, die Schweiz, Südkorea, Australien und Schweden. Finnland, Singapur und Spanien werden ebenfalls in der Liste der Zielländer aufgeführt.