Anatsa Android トロイの木馬、米国とヨーロッパの被害者を狙う

最近の Android マルウェア キャンペーンが確認されました。これは、Anatsa バンキング トロイの木馬を配布し、2023 年 3 月以降、米国、英国、ドイツ、オーストリア、スイスの金融機関の顧客をターゲットにすることを目的としています。

ThreatFabric によると、Anatsa の背後にあるグループは、モバイル バンキング アプリで使用されるログイン認証情報を盗み、デバイス乗っ取り詐欺 (DTO) を行って不正取引を実行することを目的としています。このサイバーセキュリティ会社は、Google Play ストアで発見された Anatsa に感染したドロッパー アプリがすでに 30,000 件以上インストールされていると述べました。これは、公式アプリ ストアがマルウェアを配布する効果的な手段となったことを示しています。

TeaBot や Toddler としても知られる Anatsa は、2021 年初めに初めて出現し、PDF リーダー、QR コード スキャナー、Google Play ストアの 2 要素認証 (2FA) アプリなどの無害なユーティリティ アプリを装ってユーザーの資格。それ以来、このウイルスは最も蔓延しているバンキング トロイの木馬の 1 つとなり、世界中の 400 以上の金融機関を標的にしています。

このトロイの木馬は、データを抽出するバックドアのような機能を備えており、オーバーレイ攻撃を利用して認証情報を盗み、Android のアクセシビリティ サービス API を悪用してユーザー アクティビティを記録します。さらに、既存の不正防止対策を回避して不正な資金移動を実行する可能性があります。

ThreatFabric は、不正取引は標的の銀行顧客が定期的に使用しているのと同じデバイスから開始されるため、Anatsa の検出は銀行の不正防止システムにとって困難であることが証明されていると指摘しました。

アナツァの動作モード

ThreatFabric が観察した最近のキャンペーンでは、ドロッパー アプリがインストールされると、悪意のあるペイロードをホストする別の GitHub URL にリダイレクトされるリクエストを GitHub ページに送信します。目的は、自分自身をアプリのアドオンとして見せて被害者を欺くことです。不審な広告を通じてユーザーがこれらのアプリに誘導されている疑いがある。

このドロッパーの注目すべき特徴は、制限付きの「REQUEST_INSTALL_PACKAGES」権限を悪用することであり、Google Play ストアを通じて配布される悪意のあるアプリによって繰り返し悪用され、感染したデバイスに追加のマルウェアをインストールします。今回のキャンペーンで使用される5つのドロッパーアプリの名前は以下のとおりです。

• すべてのドキュメント リーダーおよびエディター (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• すべてのドキュメント リーダーおよびビューアー (com.muchlensoka.pdfcreator)
• PDF リーダー - PDF の編集と表示 (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• PDF リーダーおよびエディター (com.proderstarler.pdfsignature)
• PDF リーダーおよびエディター (moh.filemanagerrespdf)

これらのドロッパー アプリはすべて、最初のリリース後に更新されています。これは、最初の申請時にアプリのレビュー プロセスを正常に通過した後、悪意のある機能をこっそり導入しようとする試みである可能性があります。

対象となる金融アプリケーションの数に基づくと、アナツァにとって重要な関心のある国には、米国、イタリア、ドイツ、英国、フランス、アラブ首長国連邦、スイス、韓国、オーストラリア、スウェーデンが含まれます。フィンランド、シンガポール、スペインも対象国のリストに挙げられている。