Το Anatsa Android Trojan στοχεύει θύματα στις ΗΠΑ και την Ευρώπη

Εντοπίστηκε μια πρόσφατη καμπάνια κακόβουλου λογισμικού Android, με στόχο τη διανομή του τραπεζικού trojan Anatsa και τη στόχευση πελατών χρηματοπιστωτικών ιδρυμάτων στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, τη Γερμανία, την Αυστρία και την Ελβετία από τον Μάρτιο του 2023.

Σύμφωνα με το ThreatFabric, η ομάδα πίσω από το Anatsa σκοπεύει να κλέψει τα διαπιστευτήρια σύνδεσης που χρησιμοποιούνται σε εφαρμογές mobile banking και να συμμετάσχει σε Device-Takeover Fraud (DTO) για να πραγματοποιήσει δόλιες συναλλαγές. Η εταιρεία κυβερνοασφάλειας ανέφερε ότι οι εφαρμογές dropper που έχουν μολυνθεί με το Anatsa, οι οποίες βρέθηκαν στο Google Play Store, έχουν ήδη συγκεντρώσει περισσότερες από 30.000 εγκαταστάσεις. Αυτό δείχνει ότι το επίσημο κατάστημα εφαρμογών έχει γίνει ένα αποτελεσματικό μέσο διανομής του κακόβουλου λογισμικού.

Το Anatsa, γνωστό και ως TeaBot and Toddler, εμφανίστηκε αρχικά στις αρχές του 2021 και έχει παρατηρηθεί να μεταμφιέζεται σε αβλαβείς βοηθητικές εφαρμογές όπως προγράμματα ανάγνωσης PDF, σαρωτές κωδικών QR και εφαρμογές ελέγχου ταυτότητας δύο παραγόντων (2FA) στο Google Play Store για την εξαγωγή των χρηστών. διαπιστευτήρια. Έκτοτε έχει γίνει ένα από τα πιο διαδεδομένα τραπεζικά trojans, με στόχο περισσότερα από 400 χρηματοπιστωτικά ιδρύματα παγκοσμίως.

Ο trojan διαθέτει δυνατότητες σαν backdoor για εξαγωγή δεδομένων και χρησιμοποιεί επιθέσεις επικάλυψης για την κλοπή διαπιστευτηρίων και την καταγραφή των δραστηριοτήτων των χρηστών εκμεταλλευόμενος το API υπηρεσιών προσβασιμότητας του Android. Επιπλέον, μπορεί να παρακάμψει τα υπάρχοντα μέτρα ελέγχου της απάτης για την εκτέλεση μη εξουσιοδοτημένων μεταφορών κεφαλαίων.

Η ThreatFabric επεσήμανε ότι ο εντοπισμός του Anatsa έχει αποδειχθεί πρόκληση για τα τραπεζικά συστήματα καταπολέμησης της απάτης, καθώς οι δόλιες συναλλαγές ξεκινούν από την ίδια συσκευή που χρησιμοποιείται τακτικά από τους στοχευμένους πελάτες της τράπεζας.

Τρόπος Λειτουργίας της Anatsa

Στην πρόσφατη καμπάνια που παρατηρήθηκε από το ThreatFabric, η εφαρμογή dropper, μόλις εγκατασταθεί, στέλνει ένα αίτημα σε μια σελίδα GitHub που ανακατευθύνει σε άλλη διεύθυνση URL του GitHub που φιλοξενεί το κακόβουλο ωφέλιμο φορτίο. Ο στόχος είναι να εξαπατηθούν τα θύματα παρουσιάζοντας τον εαυτό τους ως πρόσθετα εφαρμογών. Υπάρχει υποψία ότι οι χρήστες κατευθύνονται σε αυτές τις εφαρμογές μέσω ύποπτων διαφημίσεων.

Ένα αξιοσημείωτο χαρακτηριστικό του dropper είναι η εκμετάλλευση της περιορισμένης άδειας "REQUEST_INSTALL_PACKAGES", η οποία έχει γίνει επανειλημμένα κατάχρηση από κακόβουλες εφαρμογές που διανέμονται μέσω του Google Play Store για την εγκατάσταση πρόσθετου κακόβουλου λογισμικού σε μολυσμένες συσκευές. Τα ονόματα των πέντε εφαρμογών dropper που χρησιμοποιούνται σε αυτήν την καμπάνια είναι τα εξής:

• All Document Reader & Editor (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Όλα τα προγράμματα ανάγνωσης και προβολής εγγράφων (com.muchlensoka.pdfcreator)
• PDF Reader - Επεξεργασία και προβολή PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• PDF Reader & Editor (com.proderstarler.pdfsignature)
• PDF Reader & Editor (moh.filemanagerrespdf)

Όλες αυτές οι εφαρμογές dropper έχουν ενημερωθεί μετά την αρχική τους κυκλοφορία, πιθανότατα ως μια προσπάθεια να εισαχθεί κρυφά κακόβουλη λειτουργικότητα μετά την επιτυχή επιτυχία της διαδικασίας ελέγχου της εφαρμογής κατά την πρώτη υποβολή.

Οι χώρες που παρουσιάζουν σημαντικό ενδιαφέρον για την Anatsa, με βάση τον αριθμό των στοχευμένων οικονομικών αιτήσεων, περιλαμβάνουν τις Ηνωμένες Πολιτείες, την Ιταλία, τη Γερμανία, το Ηνωμένο Βασίλειο, τη Γαλλία, τα Ηνωμένα Αραβικά Εμιράτα, την Ελβετία, τη Νότια Κορέα, την Αυστραλία και τη Σουηδία. Στη λίστα των στοχευόμενων χωρών αναφέρονται επίσης η Φινλανδία, η Σιγκαπούρη και η Ισπανία.