Az Anatsa Android Trojan áldozatokat céloz meg az Egyesült Államokban és Európában

A közelmúltban azonosítottak egy androidos rosszindulatú programkampányt, amelynek célja az Anatsa banki trójai program terjesztése, és 2023 márciusa óta az Egyesült Államok, az Egyesült Királyság, Németország, Ausztria és Svájc pénzintézeteinek ügyfelei.

A ThreatFabric szerint az Anatsa mögött álló csoport el akarja lopni a mobilbanki alkalmazásokban használt bejelentkezési adatokat, és eszközátvételi csalást (DTO) kíván folytatni, hogy csalárd tranzakciókat hajtson végre. A kiberbiztonsági cég megemlítette, hogy a Google Play Áruházban található Anatsa-fertőzött dropper-alkalmazások már több mint 30 000 telepítést gyűjtöttek össze. Ez azt jelzi, hogy a hivatalos alkalmazásbolt a rosszindulatú programok terjesztésének hatékony eszközévé vált.

Az Anatsa, más néven TeaBot és Toddler, kezdetben 2021 elején jelent meg, és a megfigyelések szerint ártalmatlan segédalkalmazásoknak álcázta magát, például PDF-olvasóknak, QR-kód-leolvasóknak és kéttényezős hitelesítési (2FA) alkalmazásoknak a Google Play Áruházban a felhasználók kinyerésére. hitelesítő adatok. Azóta az egyik legelterjedtebb banki trójai lett, amely több mint 400 pénzintézetet céloz meg világszerte.

A trójai háttérajtó-szerű képességekkel rendelkezik adatok kinyerésére, és overlay támadásokat használ a hitelesítő adatok ellopására és a felhasználói tevékenységek rögzítésére az Android akadálymentesítési szolgáltatásainak API-jának kihasználásával. Ezenkívül megkerülheti a meglévő csalásellenőrzési intézkedéseket, hogy jogosulatlan pénzátutalásokat hajtson végre.

A ThreatFabric rámutatott, hogy az Anatsa felderítése kihívásnak bizonyult a banki csalás elleni rendszerek számára, mivel a csalárd tranzakciókat ugyanarról az eszközről kezdeményezik, amelyet a megcélzott banki ügyfelek rendszeresen használnak.

Anatsa működési módja

A ThreatFabric által megfigyelt közelmúltbeli kampányban a dropper alkalmazás telepítése után kérelmet küld egy GitHub-oldalnak, amely átirányít egy másik GitHub URL-re, amely a rosszindulatú terhelést tárolja. A cél az áldozatok megtévesztése azáltal, hogy alkalmazás-kiegészítőként mutatják be magukat. A gyanú szerint a felhasználókat gyanús hirdetéseken keresztül irányítják ezekhez az alkalmazásokhoz.

A dropper figyelemre méltó jellemzője, hogy kihasználja a korlátozott "REQUEST_INSTALL_PACKAGES" engedélyt, amellyel a Google Play Áruházban terjesztett rosszindulatú alkalmazások ismételten visszaéltek, hogy további rosszindulatú programokat telepítsenek a fertőzött eszközökre. A kampányban használt öt cseppentős alkalmazás neve a következő:

• Minden dokumentum olvasó és szerkesztő (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Minden dokumentum olvasó és megjelenítő (com.muchlensoka.pdfcreator)
• PDF-olvasó – PDF szerkesztése és megtekintése (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• PDF olvasó és szerkesztő (com.proderstarler.pdfsignature)
• PDF olvasó és szerkesztő (moh.filemanagerrespdf)

Valamennyi ilyen cseppentő alkalmazást frissítettük a kezdeti kiadásuk után, valószínűleg rosszindulatú funkciók lopva történő bevezetésére tett kísérletként, miután az első beküldés során sikeresen átment az alkalmazás-ellenőrzési folyamaton.

Az Anatsa számára jelentős érdeklődésre számot tartó országok a megcélzott pénzügyi pályázatok száma alapján az Egyesült Államok, Olaszország, Németország, az Egyesült Királyság, Franciaország, Egyesült Arab Emírségek, Svájc, Dél-Korea, Ausztrália és Svédország. Finnország, Szingapúr és Spanyolország is szerepel a célországok listáján.