Android-троянец Anatsa нацелен на жертв в США и Европе

Была выявлена недавняя кампания вредоносного ПО для Android, направленная на распространение банковского трояна Anatsa и нацеливание на клиентов финансовых учреждений в США, Великобритании, Германии, Австрии и Швейцарии с марта 2023 года.

Согласно ThreatFabric, группа, стоящая за Anatsa, намеревается украсть учетные данные для входа, используемые в приложениях для мобильного банкинга, и участвовать в мошенничестве с захватом устройства (DTO) для проведения мошеннических транзакций. Компания по кибербезопасности упомянула, что приложения-дропперы, зараженные Anatsa, которые были обнаружены в магазине Google Play, уже накопили более 30 000 установок. Это свидетельствует о том, что официальный магазин приложений стал эффективным средством распространения вредоносного ПО.

Anatsa, также известная как TeaBot и Toddler, первоначально появилась в начале 2021 года и, как было замечено, маскировалась под безобидные служебные приложения, такие как программы для чтения PDF, сканеры QR-кода и приложения двухфакторной аутентификации (2FA) в магазине Google Play для извлечения данных пользователей. реквизиты для входа. С тех пор он стал одним из самых распространенных банковских троянов, нацеленных на более чем 400 финансовых учреждений по всему миру.

Троянец обладает возможностями, подобными бэкдору, для извлечения данных и использует оверлейные атаки для кражи учетных данных и записи действий пользователей, используя API сервисов специальных возможностей Android. Более того, он может обходить существующие меры по борьбе с мошенничеством для выполнения несанкционированных переводов средств.

ThreatFabric отметила, что обнаружение Anatsa оказалось сложной задачей для банковских систем по борьбе с мошенничеством, поскольку мошеннические транзакции инициируются с того же устройства, которое регулярно используется целевыми клиентами банка.

Режим работы Анатса

В недавней кампании, наблюдаемой ThreatFabric, приложение-дроппер после установки отправляет запрос на страницу GitHub, которая перенаправляет на другой URL-адрес GitHub, содержащий вредоносную полезную нагрузку. Цель состоит в том, чтобы обмануть жертв, представляя себя надстройками приложений. Есть подозрение, что пользователи перенаправляются в эти приложения через подозрительную рекламу.

Примечательной характеристикой дроппера является использование ограниченного разрешения «REQUEST_INSTALL_PACKAGES», которым неоднократно злоупотребляли вредоносные приложения, распространяемые через Google Play Store, для установки дополнительных вредоносных программ на зараженные устройства. Названия пяти приложений-дропперов, используемых в этой кампании, следующие:

• Программа для чтения и редактирования всех документов (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Программа для чтения и просмотра всех документов (com.muchlensoka.pdfcreator)
• PDF Reader — редактирование и просмотр PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• Программа для чтения и редактирования PDF-файлов (com.proderstarler.pdfsignature)
• Программа для чтения и редактирования PDF (moh.filemanagerrespdf)

Все эти приложения-дропперы были обновлены после их первоначального выпуска, вероятно, как попытка скрытно внедрить вредоносные функции после успешного прохождения процесса проверки приложения во время первой отправки.

Страны, представляющие значительный интерес для Anatsa, исходя из количества целевых финансовых приложений, включают США, Италию, Германию, Великобританию, Францию, Объединенные Арабские Эмираты, Швейцарию, Южную Корею, Австралию и Швецию. Финляндия, Сингапур и Испания также упоминаются в списке целевых стран.