Anatsa Android Trojos arklys yra skirtas aukoms JAV ir Europoje

Neseniai buvo nustatyta „Android“ kenkėjiškų programų kampanija, kuria siekiama platinti „Anatsa“ bankininkystės Trojos arklys ir nuo 2023 m. kovo nukreipti į JAV, Jungtinės Karalystės, Vokietijos, Austrijos ir Šveicarijos finansų įstaigų klientus.

„ThreatFabric“ teigimu, „Anatsa“ grupė ketina pavogti prisijungimo duomenis, naudojamus mobiliosios bankininkystės programose, ir įsitraukti į įrenginio perėmimo sukčiavimą (DTO), kad galėtų atlikti nesąžiningus sandorius. Kibernetinio saugumo įmonė paminėjo, kad „Google Play“ parduotuvėje rastos „Anatsa“ užkrėstos „dropper“ programėlės jau įdiegė per 30 tūkst. Tai rodo, kad oficiali programėlių parduotuvė tapo veiksminga kenkėjiškų programų platinimo priemone.

„Anatsa“, dar žinoma kaip „TeaBot“ ir „Toddler“, iš pradžių pasirodė 2021 m. pradžioje ir buvo pastebėta, kad „Google Play“ parduotuvėje apsimetė nekenksmingomis programėlėmis, tokiomis kaip PDF skaitytuvai, QR kodo skaitytuvai ir dviejų veiksnių autentifikavimo (2FA) programėlės, skirtos naudotojams išgauti. kredencialus. Nuo tada jis tapo vienu iš labiausiai paplitusių bankinių Trojos arklių, skirtų daugiau nei 400 finansinių institucijų visame pasaulyje.

Trojos arklys turi į užpakalines duris panašias galimybes išgauti duomenis ir naudoja perdangos atakas, kad pavogtų kredencialus ir įrašytų naudotojų veiklą, naudodamas „Android“ pritaikymo neįgaliesiems paslaugų API. Be to, jis gali apeiti esamas sukčiavimo kontrolės priemones, kad būtų atliktas neteisėtas lėšų pervedimas.

„ThreatFabric“ nurodė, kad „Anatsa“ aptikimas pasirodė sudėtingas bankų kovos su sukčiavimu sistemoms, nes nesąžiningos operacijos inicijuojamos iš to paties įrenginio, kurį reguliariai naudoja tiksliniai banko klientai.

Anatsa veikimo būdas

Neseniai ThreatFabric stebėtoje kampanijoje įdiegta lašintuvo programa siunčia užklausą į GitHub puslapį, kuris nukreipia į kitą GitHub URL, kuriame yra kenkėjiška apkrova. Tikslas – apgauti aukas prisistatant kaip programėlės priedus. Įtariama, kad vartotojai į šias programėles nukreipiami per įtartinus skelbimus.

Ypatinga lašintuvo savybė yra apriboto „REQUEST_INSTALL_PACKAGES“ leidimo išnaudojimas, kuriuo ne kartą piktnaudžiauja kenkėjiškos programos, platinamos per „Google Play“ parduotuvę, siekdamos įdiegti papildomas kenkėjiškas programas užkrėstuose įrenginiuose. Penkių šioje kampanijoje naudojamų lašintuvų programų pavadinimai yra tokie:

• Visų dokumentų skaitytuvas ir redaktorius (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Visų dokumentų skaitytuvas ir peržiūros priemonė (com.muchlensoka.pdfcreator)
• PDF skaitytuvas – redaguoti ir peržiūrėti PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• PDF skaitytuvas ir rengyklė (com.proderstarler.pdfsignature)
• PDF skaitytuvas ir redaktorius (moh.filemanagerrespdf)

Visos šios lašintuvų programos buvo atnaujintos po jų pradinio išleidimo. Tikėtina, kad buvo bandoma slapta įdiegti kenkėjiškas funkcijas, sėkmingai išlaikius programos peržiūros procesą pirmojo pateikimo metu.

Anatsa labai domina šalys, kurios, remiantis tikslinių finansinių paraiškų skaičiumi, yra JAV, Italija, Vokietija, Jungtinė Karalystė, Prancūzija, Jungtiniai Arabų Emyratai, Šveicarija, Pietų Korėja, Australija ir Švedija. Į tikslinių šalių sąrašą taip pat paminėtos Suomija, Singapūras ir Ispanija.