Anatsa Android Trojan richt zich op slachtoffers in de VS en Europa

android smartphone

Er is een recente Android-malwarecampagne geïdentificeerd, die tot doel heeft de Anatsa-banktrojan te verspreiden en zich sinds maart 2023 te richten op klanten van financiële instellingen in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Oostenrijk en Zwitserland.

Volgens ThreatFabric is de groep achter Anatsa van plan inloggegevens te stelen die worden gebruikt in apps voor mobiel bankieren en zich in te laten met Device-Takeover Fraud (DTO) om frauduleuze transacties uit te voeren. Het cyberbeveiligingsbedrijf zei dat dropper-apps die zijn geïnfecteerd met Anatsa, die zijn gevonden in de Google Play Store, al meer dan 30.000 installaties hebben verzameld. Dit geeft aan dat de officiële app store een effectief middel is geworden om de malware te verspreiden.

Anatsa, ook wel bekend als TeaBot en Toddler, verscheen voor het eerst begin 2021 en er is waargenomen dat het zichzelf vermomt als onschadelijke hulpprogramma-apps zoals pdf-lezers, QR-codescanners en tweefactorauthenticatie-apps (2FA) in de Google Play Store om gebruikers te extraheren. referenties. Sindsdien is het een van de meest wijdverspreide banktrojans geworden, gericht op meer dan 400 financiële instellingen wereldwijd.

De trojan heeft backdoor-achtige mogelijkheden om gegevens te extraheren en maakt gebruik van overlay-aanvallen om inloggegevens te stelen en gebruikersactiviteiten vast te leggen door gebruik te maken van de API voor toegankelijkheidsservices van Android. Bovendien kan het bestaande fraudecontrolemaatregelen omzeilen om ongeoorloofde geldovermakingen uit te voeren.

ThreatFabric wees erop dat het detecteren van Anatsa een uitdaging is gebleken voor fraudebestrijdingssystemen van banken, aangezien de frauduleuze transacties worden geïnitieerd vanaf hetzelfde apparaat dat regelmatig wordt gebruikt door de beoogde bankklanten.

Anatsa's werkwijze

In de recente campagne die door ThreatFabric is waargenomen, stuurt de dropper-app, eenmaal geïnstalleerd, een verzoek naar een GitHub-pagina die doorverwijst naar een andere GitHub-URL die de kwaadaardige payload host. Het doel is om slachtoffers te misleiden door zichzelf voor te doen als app-add-ons. Het vermoeden bestaat dat gebruikers via verdachte advertenties naar deze apps worden geleid.

Een opvallend kenmerk van de dropper is dat het gebruik maakt van de beperkte "REQUEST_INSTALL_PACKAGES"-machtiging, die herhaaldelijk is misbruikt door kwaadaardige apps die via de Google Play Store worden verspreid om extra malware op geïnfecteerde apparaten te installeren. De namen van de vijf dropper-apps die in deze campagne worden gebruikt, zijn als volgt:

  • All Document Reader & Editor (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
  • All Document Reader en Viewer (com.muchlensoka.pdfcreator)
  • PDF-lezer - PDF bewerken en bekijken (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
  • PDF-lezer en -editor (com.proderstarler.pdfsignature)
  • PDF-lezer en -editor (moh.filemanagerrespdf)

Al deze dropper-apps zijn na hun eerste release geüpdatet, waarschijnlijk als een poging om heimelijk kwaadaardige functionaliteit te introduceren nadat ze tijdens de eerste indiening het app-beoordelingsproces met succes hebben doorstaan.

De landen die van groot belang zijn voor Anatsa, op basis van het aantal gerichte financiële aanvragen, zijn de Verenigde Staten, Italië, Duitsland, het Verenigd Koninkrijk, Frankrijk, de Verenigde Arabische Emiraten, Zwitserland, Zuid-Korea, Australië en Zweden. Finland, Singapore en Spanje worden ook genoemd in de lijst met beoogde landen.

Tegen Zaib
June 27, 2023
Computer Security
Nederlands
June 27, 2023
Computer Security

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.