Anatsa Android 木馬以美國和歐洲的受害者為目標
最近發現了一個 Android 惡意軟件活動,旨在傳播 Anatsa 銀行木馬,並自 2023 年 3 月起針對美國、英國、德國、奧地利和瑞士的金融機構客戶。
據 ThreatFabric 稱,Anatsa 背後的組織打算竊取移動銀行應用程序中使用的登錄憑據,並參與設備接管欺詐 (DTO) 來進行欺詐交易。該網絡安全公司提到,在 Google Play 商店中發現的感染 Anatsa 的植入應用程序已經積累了超過 30,000 個安裝。這表明官方應用商店已成為惡意軟件傳播的有效手段。
Anatsa 也稱為 TeaBot 和 Toddler,最初出現於 2021 年初,據觀察,它偽裝成無害的實用應用程序,例如 Google Play 商店中的 PDF 閱讀器、二維碼掃描儀和雙因素身份驗證 (2FA) 應用程序,以提取用戶的信息。證書。此後,它已成為最廣泛傳播的銀行木馬之一,針對全球 400 多家金融機構。
該木馬擁有類似後門的功能來提取數據,並利用覆蓋攻擊竊取憑證並通過利用 Android 的輔助服務 API 記錄用戶活動。此外,它可以繞過現有的欺詐控制措施來執行未經授權的資金轉移。
ThreatFabric 指出,事實證明,檢測 Anatsa 對銀行反欺詐系統來說具有挑戰性,因為欺詐交易是從目標銀行客戶經常使用的同一設備發起的。
Anatsa 的運作模式
在 ThreatFabric 最近觀察到的活動中,dropper 應用程序一旦安裝,就會向 GitHub 頁面發送請求,該頁面重定向到託管惡意負載的另一個 GitHub URL。其目標是通過將自己呈現為應用程序插件來欺騙受害者。懷疑用戶通過可疑廣告被引導至這些應用程序。
該植入程序的一個顯著特徵是它利用受限的“REQUEST_INSTALL_PACKAGES”權限,該權限已被通過 Google Play 商店分發的惡意應用程序反复濫用,以在受感染的設備上安裝其他惡意軟件。此活動中使用的五個滴管應用程序的名稱如下:
- 所有文檔閱讀器和編輯器 (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
- 所有文檔閱讀器和查看器(com.muchlensoka.pdfcreator)
- PDF 閱讀器 - 編輯和查看 PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
- PDF 閱讀器和編輯器 (com.proderstarler.pdfsignature)
- PDF 閱讀器和編輯器 (moh.filemanagerrespdf)
所有這些滴管應用程序在首次發布後均已更新,可能是在首次提交期間成功通過應用程序審核流程後試圖秘密引入惡意功能。
根據目標金融應用程序的數量,Anatsa 感興趣的國家包括美國、意大利、德國、英國、法國、阿拉伯聯合酋長國、瑞士、韓國、澳大利亞和瑞典。芬蘭、新加坡和西班牙也出現在目標國家名單中。
