Anatsa Android Trojan riktar sig till offer i USA och Europa

En nyligen genomförd kampanj för skadlig programvara för Android har identifierats, som syftar till att distribuera Anatsa-banktrojanen och rikta in sig på kunder hos finansinstitutioner i USA, Storbritannien, Tyskland, Österrike och Schweiz sedan mars 2023.

Enligt ThreatFabric har gruppen bakom Anatsa för avsikt att stjäla inloggningsuppgifter som används i mobila bankappar och engagera sig i Device-Takeover Fraud (DTO) för att utföra bedrägliga transaktioner. Cybersäkerhetsföretaget nämnde att droppappar infekterade med Anatsa, som hittades på Google Play Store, redan har samlat över 30 000 installationer. Detta indikerar att den officiella appbutiken har blivit ett effektivt sätt att distribuera skadlig programvara.

Anatsa, även känd som TeaBot och Toddler, dök upp i början av 2021 och har observerats maskera sig som ofarliga verktygsappar som PDF-läsare, QR-kodskannrar och tvåfaktorsautentiseringsappar (2FA) i Google Play Butik för att extrahera användarnas referenser. Det har sedan dess blivit en av de mest utbredda banktrojanerna och riktar sig till mer än 400 finansinstitut över hela världen.

Trojanen har bakdörrsliknande kapacitet för att extrahera data och använder överlagringsattacker för att stjäla referenser och registrera användaraktiviteter genom att utnyttja Androids tillgänglighetstjänster API. Dessutom kan den kringgå befintliga bedrägerikontrollåtgärder för att utföra obehöriga överföringar.

ThreatFabric påpekade att det har visat sig vara utmanande att upptäcka Anatsa för banksystem för bedrägeribekämpning eftersom de bedrägliga transaktionerna initieras från samma enhet som regelbundet används av de riktade bankkunderna.

Anatsas funktionssätt

I den senaste kampanjen som observerats av ThreatFabric skickar dropper-appen, när den väl har installerats, en begäran till en GitHub-sida som omdirigerar till en annan GitHub-URL som är värd för den skadliga nyttolasten. Målet är att lura offer genom att presentera sig själva som apptillägg. Det misstänks att användare hänvisas till dessa appar genom misstänkta annonser.

En anmärkningsvärd egenskap hos dropparen är dess utnyttjande av den begränsade "REQUEST_INSTALL_PACKAGES"-behörigheten, som upprepade gånger har missbrukats av skadliga appar som distribueras via Google Play Butik för att installera ytterligare skadlig programvara på infekterade enheter. Namnen på de fem droppapparna som används i den här kampanjen är följande:

• All Document Reader & Editor (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• All Document Reader och Viewer (com.muchlensoka.pdfcreator)
• PDF Reader - Redigera och visa PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• PDF Reader & Editor (com.proderstarler.pdfsignature)
• PDF Reader & Editor (moh.filemanagerrespdf)

Alla dessa droppappar har uppdaterats efter deras första utgivning, troligen som ett försök att smyg införa skadlig funktionalitet efter att ha klarat appgranskningsprocessen under den första inlämningen.

Länderna av betydande intresse för Anatsa, baserat på antalet riktade finansiella ansökningar, inkluderar USA, Italien, Tyskland, Storbritannien, Frankrike, Förenade Arabemiraten, Schweiz, Sydkorea, Australien och Sverige. Finland, Singapore och Spanien nämns också i listan över målländer.