Trojan Anatsa dla Androida atakuje ofiary w USA i Europie

Zidentyfikowano niedawną kampanię złośliwego oprogramowania dla systemu Android, której celem jest dystrybucja trojana bankowego Anatsa i atakowanie klientów instytucji finansowych w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, Austrii i Szwajcarii od marca 2023 r.

Według ThreatFabric grupa stojąca za Anatsa zamierza ukraść dane logowania używane w aplikacjach bankowości mobilnej i zaangażować się w oszustwo polegające na przejęciu urządzenia (DTO) w celu przeprowadzenia oszukańczych transakcji. Firma zajmująca się cyberbezpieczeństwem wspomniała, że aplikacje typu dropper zainfekowane Anatsą, które zostały znalezione w sklepie Google Play, zgromadziły już ponad 30 000 instalacji. Oznacza to, że oficjalny sklep z aplikacjami stał się skutecznym środkiem dystrybucji szkodliwego oprogramowania.

Anatsa, znany również jako TeaBot i Toddler, pojawił się początkowo na początku 2021 roku i zaobserwowano, że ukrywa się pod nieszkodliwymi aplikacjami narzędziowymi, takimi jak czytniki PDF, skanery kodów QR i aplikacje do uwierzytelniania dwuskładnikowego (2FA) w sklepie Google Play w celu wyodrębnienia danych użytkowników referencje. Od tego czasu stał się jednym z najbardziej rozpowszechnionych trojanów bankowych, atakując ponad 400 instytucji finansowych na całym świecie.

Trojan posiada podobne do backdoora możliwości wydobywania danych i wykorzystuje ataki nakładkowe w celu kradzieży danych uwierzytelniających i rejestrowania działań użytkowników poprzez wykorzystanie interfejsu API usług ułatwień dostępu Androida. Co więcej, może ominąć istniejące środki kontroli oszustw w celu wykonywania nieautoryzowanych transferów środków.

ThreatFabric zwrócił uwagę, że wykrycie Anatsy okazało się wyzwaniem dla bankowych systemów zwalczania oszustw, ponieważ oszukańcze transakcje są inicjowane z tego samego urządzenia, z którego regularnie korzystają klienci banku będącego celem ataków.

Tryb działania Anatsy

W niedawnej kampanii zaobserwowanej przez ThreatFabric aplikacja dropper po zainstalowaniu wysyła żądanie do strony GitHub, która przekierowuje do innego adresu URL GitHuba, na którym znajduje się szkodliwa funkcja. Celem jest oszukanie ofiar, przedstawiając się jako dodatki do aplikacji. Podejrzewa się, że użytkownicy są kierowani do tych aplikacji za pośrednictwem podejrzanych reklam.

Godną uwagi cechą droppera jest wykorzystywanie ograniczonego uprawnienia „REQUEST_INSTALL_PACKAGES”, które było wielokrotnie nadużywane przez złośliwe aplikacje dystrybuowane za pośrednictwem Sklepu Google Play w celu zainstalowania dodatkowego złośliwego oprogramowania na zainfekowanych urządzeniach. Nazwy pięciu aplikacji typu dropper używanych w tej kampanii są następujące:

• Czytnik i edytor wszystkich dokumentów (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Czytnik i przeglądarka wszystkich dokumentów (com.muchlensoka.pdfcreator)
• Czytnik PDF — edytuj i przeglądaj pliki PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• Czytnik i edytor PDF (com.proderstarler.pdfsignature)
• Czytnik i edytor PDF (moh.filemanagerrespdf)

Wszystkie te aplikacje typu dropper zostały zaktualizowane po ich pierwszym wydaniu, prawdopodobnie jako próba ukradkowego wprowadzenia złośliwej funkcjonalności po pomyślnym przejściu procesu przeglądu aplikacji podczas pierwszego zgłoszenia.

Kraje, którymi Anatsa szczególnie interesuje się na podstawie liczby ukierunkowanych wniosków finansowych, to Stany Zjednoczone, Włochy, Niemcy, Wielka Brytania, Francja, Zjednoczone Emiraty Arabskie, Szwajcaria, Korea Południowa, Australia i Szwecja. Na liście krajów docelowych wymieniono również Finlandię, Singapur i Hiszpanię.