Le cheval de Troie Android Anatsa cible des victimes aux États-Unis et en Europe

Une récente campagne de logiciels malveillants Android a été identifiée, visant à distribuer le cheval de Troie bancaire Anatsa et à cibler les clients des institutions financières aux États-Unis, au Royaume-Uni, en Allemagne, en Autriche et en Suisse depuis mars 2023.

Selon ThreatFabric, le groupe à l'origine d'Anatsa a l'intention de voler les identifiants de connexion utilisés dans les applications bancaires mobiles et de se livrer à la fraude par prise de contrôle d'appareil (DTO) pour effectuer des transactions frauduleuses. La société de cybersécurité a mentionné que les applications de compte-gouttes infectées par Anatsa, qui ont été trouvées sur le Google Play Store, ont déjà amassé plus de 30 000 installations. Cela indique que la boutique d'applications officielle est devenue un moyen efficace de distribuer le logiciel malveillant.

Anatsa, également connu sous le nom de TeaBot et Toddler, est apparu pour la première fois au début de 2021 et a été observé se déguisant en applications utilitaires inoffensives telles que des lecteurs PDF, des scanners de code QR et des applications d'authentification à deux facteurs (2FA) sur le Google Play Store pour extraire les utilisateurs. crédits. Il est depuis devenu l'un des chevaux de Troie bancaires les plus répandus, ciblant plus de 400 institutions financières dans le monde.

Le cheval de Troie possède des capacités de type porte dérobée pour extraire des données et utilise des attaques de superposition pour voler des informations d'identification et enregistrer les activités des utilisateurs en exploitant l'API des services d'accessibilité d'Android. De plus, il peut contourner les mesures de lutte contre la fraude existantes pour exécuter des transferts de fonds non autorisés.

ThreatFabric a souligné que la détection d'Anatsa s'est avérée difficile pour les systèmes anti-fraude bancaires puisque les transactions frauduleuses sont initiées à partir du même appareil régulièrement utilisé par les clients bancaires ciblés.

Mode de fonctionnement d'Anatsa

Dans la récente campagne observée par ThreatFabric, l'application dropper, une fois installée, envoie une requête à une page GitHub qui redirige vers une autre URL GitHub hébergeant la charge utile malveillante. Le but est de tromper les victimes en se présentant comme des compléments d'application. On soupçonne que les utilisateurs sont dirigés vers ces applications via des publicités suspectes.

Une caractéristique notable du compte-gouttes est son exploitation de l'autorisation restreinte "REQUEST_INSTALL_PACKAGES", qui a été abusée à plusieurs reprises par des applications malveillantes distribuées via le Google Play Store pour installer des logiciels malveillants supplémentaires sur les appareils infectés. Les noms des cinq applications dropper utilisées dans cette campagne sont les suivants :

• Lecteur et éditeur de tous les documents (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Lecteur et visualiseur de tous les documents (com.muchlensoka.pdfcreator)
• Lecteur PDF - Modifier et afficher le PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• Lecteur et éditeur PDF (com.proderstarler.pdfsignature)
• Lecteur et éditeur PDF (moh.filemanagerrespdf)

Toutes ces applications dropper ont été mises à jour après leur sortie initiale, probablement dans le but d'introduire furtivement des fonctionnalités malveillantes après avoir réussi le processus d'examen des applications lors de la première soumission.

Les pays d'intérêt significatif pour Anatsa, sur la base du nombre d'applications financières ciblées, comprennent les États-Unis, l'Italie, l'Allemagne, le Royaume-Uni, la France, les Émirats arabes unis, la Suisse, la Corée du Sud, l'Australie et la Suède. La Finlande, Singapour et l'Espagne sont également mentionnés dans la liste des pays ciblés.