Anatsa Android 木马以美国和欧洲的受害者为目标
最近发现了一个 Android 恶意软件活动,旨在传播 Anatsa 银行木马,并自 2023 年 3 月起针对美国、英国、德国、奥地利和瑞士的金融机构客户。
据 ThreatFabric 称,Anatsa 背后的组织打算窃取移动银行应用程序中使用的登录凭据,并参与设备接管欺诈 (DTO) 来进行欺诈交易。该网络安全公司提到,在 Google Play 商店中发现的感染 Anatsa 的植入应用程序已经积累了超过 30,000 个安装。这表明官方应用商店已成为恶意软件传播的有效手段。
Anatsa 也称为 TeaBot 和 Toddler,最初出现于 2021 年初,据观察,它伪装成无害的实用应用程序,例如 Google Play 商店中的 PDF 阅读器、二维码扫描仪和双因素身份验证 (2FA) 应用程序,以提取用户的信息。证书。此后,它已成为最广泛传播的银行木马之一,针对全球 400 多家金融机构。
该木马拥有类似后门的功能来提取数据,并利用覆盖攻击窃取凭证并通过利用 Android 的辅助服务 API 记录用户活动。此外,它可以绕过现有的欺诈控制措施来执行未经授权的资金转移。
ThreatFabric 指出,事实证明,检测 Anatsa 对银行反欺诈系统来说具有挑战性,因为欺诈交易是从目标银行客户经常使用的同一设备发起的。
Anatsa 的运作模式
在 ThreatFabric 最近观察到的活动中,dropper 应用程序一旦安装,就会向 GitHub 页面发送请求,该页面重定向到托管恶意负载的另一个 GitHub URL。其目标是通过将自己呈现为应用程序插件来欺骗受害者。怀疑用户通过可疑广告被引导至这些应用程序。
该植入程序的一个显着特征是它利用受限的“REQUEST_INSTALL_PACKAGES”权限,该权限已被通过 Google Play 商店分发的恶意应用程序反复滥用,以在受感染的设备上安装其他恶意软件。此活动中使用的五个滴管应用程序的名称如下:
- 所有文档阅读器和编辑器 (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
- 所有文档阅读器和查看器(com.muchlensoka.pdfcreator)
- PDF 阅读器 - 编辑和查看 PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
- PDF 阅读器和编辑器 (com.proderstarler.pdfsignature)
- PDF 阅读器和编辑器 (moh.filemanagerrespdf)
所有这些滴管应用程序在首次发布后均已更新,可能是在首次提交期间成功通过应用程序审核流程后试图秘密引入恶意功能。
根据目标金融应用程序的数量,Anatsa 感兴趣的国家包括美国、意大利、德国、英国、法国、阿拉伯联合酋长国、瑞士、韩国、澳大利亚和瑞典。芬兰、新加坡和西班牙也出现在目标国家名单中。
