Anatsa Android Trojan retter seg mot ofre i USA og Europa

En nylig Android-malwarekampanje har blitt identifisert, med sikte på å distribuere Anatsa-banktrojaneren og målrette mot kunder til finansinstitusjoner i USA, Storbritannia, Tyskland, Østerrike og Sveits siden mars 2023.

I følge ThreatFabric har gruppen bak Anatsa til hensikt å stjele påloggingsinformasjon brukt i mobilbankapper og engasjere seg i Device-Takeover Fraud (DTO) for å utføre uredelige transaksjoner. Nettsikkerhetsselskapet nevnte at dropper-apper infisert med Anatsa, som ble funnet på Google Play Store, allerede har samlet over 30 000 installasjoner. Dette indikerer at den offisielle appbutikken har blitt et effektivt middel for å distribuere skadelig programvare.

Anatsa, også kjent som TeaBot og Toddler, dukket først opp tidlig i 2021 og har blitt observert forkle seg som harmløse hjelpeapper som PDF-lesere, QR-kodeskannere og tofaktorautentiseringsapper (2FA) i Google Play Store for å trekke ut brukernes legitimasjon. Det har siden blitt en av de mest utbredte banktrojanerne, rettet mot mer enn 400 finansinstitusjoner over hele verden.

Trojaneren har bakdørslignende evner til å trekke ut data og bruker overleggsangrep for å stjele legitimasjon og registrere brukeraktiviteter ved å utnytte Androids API for tilgjengelighetstjenester. Dessuten kan den omgå eksisterende svindelkontrolltiltak for å utføre uautoriserte pengeoverføringer.

ThreatFabric påpekte at det å oppdage Anatsa har vist seg utfordrende for banksystemer for svindelbekjempelse siden de uredelige transaksjonene initieres fra den samme enheten som regelmessig brukes av de målrettede bankkundene.

Anatsas driftsmodus

I den nylige kampanjen observert av ThreatFabric, sender dropper-appen, når den er installert, en forespørsel til en GitHub-side som omdirigerer til en annen GitHub-URL som er vert for den ondsinnede nyttelasten. Målet er å lure ofre ved å presentere seg selv som app-tillegg. Det er mistanke om at brukere blir henvist til disse appene gjennom mistenkelige annonser.

Et bemerkelsesverdig kjennetegn ved dropperen er dens utnyttelse av den begrensede «REQUEST_INSTALL_PACKAGES»-tillatelsen, som gjentatte ganger har blitt misbrukt av ondsinnede apper distribuert gjennom Google Play Store for å installere ytterligere skadelig programvare på infiserte enheter. Navnene på de fem dropperappene som brukes i denne kampanjen er som følger:

• All Document Reader & Editor (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Alle dokumentleser og visningsprogram (com.muchlensoka.pdfcreator)
• PDF Reader - Rediger og se PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• PDF Reader & Editor (com.proderstarler.pdfsignature)
• PDF-leser og redaktør (moh.filemanagerrespdf)

Alle disse dropper-appene har blitt oppdatert etter den første utgivelsen, sannsynligvis som et forsøk på å snikende introdusere ondsinnet funksjonalitet etter å ha bestått appvurderingsprosessen under den første innsendingen.

Landene av betydelig interesse for Anatsa, basert på antall målrettede økonomiske søknader, inkluderer USA, Italia, Tyskland, Storbritannia, Frankrike, De forente arabiske emirater, Sveits, Sør-Korea, Australia og Sverige. Finland, Singapore og Spania er også nevnt i listen over målrettede land.