يستخدم أحد عناصر التهديد برامج ضارة متخفية في هيئة تطبيقات جوال مشروعة على متجر Google Play لتوزيع حصان طروادة المصرفي الخطير الذي يطلق عليه اسم "Anatsa" على مستخدمي Android في العديد من البلدان الأوروبية.
وتستمر الحملة لمدة أربعة أشهر على الأقل وهي أحدث طلقة من مشغلي البرامج الضارة، التي ظهرت لأول مرة في عام 2020 وتسببت سابقًا في سقوط ضحايا في الولايات المتحدة وإيطاليا والمملكة المتحدة وفرنسا وألمانيا ودول أخرى.
معدل غزير من العدوى
قام باحثون من ThreatFabric بمراقبة Anatsa منذ اكتشافه الأولي واكتشفوا الموجة الجديدة من الهجمات التي بدأت في نوفمبر 2023. في تقرير هذا الأسبوع ، وصف بائع كشف الاحتيال الهجمات بأنها تتكشف في موجات متعددة ومتميزة تستهدف عملاء البنوك في سلوفاكيا وسلوفينيا وجمهورية التشيك.
حتى الآن، قام مستخدمو Android في المناطق المستهدفة بتنزيل برامج التجسس للبرامج الضارة من متجر Google Play ما لا يقل عن 100,000 مرة منذ نوفمبر. في حملة سابقة خلال النصف الأول من عام 2023 والتي تتبعتها شركة ThreatFabric، قامت الجهات الفاعلة في التهديد بتجميع أكثر من 130,000 ألف عملية تثبيت لقطاراتها المسلحة لصالح Anatsa من متجر تطبيقات الهاتف المحمول من Google.
أرجع موقع ThreatFabric معدلات الإصابة المرتفعة نسبيًا إلى النهج متعدد المراحل الذي تستخدمه أدوات النشر على Google Play لتقديم Anatsa على أجهزة Android. عندما يتم تحميل برامج التسرب في البداية إلى Play، لا يوجد فيها ما يشير إلى سلوك ضار. فقط بعد وصولهم إلى Play، يقوم المتسربون باسترداد التعليمات البرمجية ديناميكيًا لتنفيذ الإجراءات الضارة من خادم الأوامر والتحكم عن بعد (C2).
ادعى أحد البرامج المتسربة، المتخفي في هيئة تطبيق أنظف، أنه يحتاج إلى أذونات لميزة خدمة الوصول في Android لما يبدو أنه سبب مشروع. تعد خدمة إمكانية الوصول في Android نوعًا خاصًا من الميزات المصممة لتسهيل تفاعل المستخدمين ذوي الإعاقة والاحتياجات الخاصة مع تطبيقات Android. لقد استغلت جهات التهديد هذه الميزة بشكل متكرر لأتمتة تثبيت الحمولة على أجهزة Android والقضاء على الحاجة إلى أي تفاعل للمستخدم أثناء العملية.
نهج متعدد المراحل
وقال ThreatFabric: "في البداية، بدا التطبيق [المنظف] غير ضار، مع عدم وجود تعليمات برمجية ضارة، كما أن AccessibilityService لا تشارك في أي أنشطة ضارة". "ومع ذلك، بعد أسبوع من إصداره، قدم التحديث تعليمات برمجية ضارة. وأشار البائع إلى أن هذا التحديث غيّر وظيفة AccessibilityService، مما مكّنها من تنفيذ إجراءات ضارة مثل النقر تلقائيًا على الأزرار بمجرد تلقي التكوين من خادم C2.
تضمنت الملفات التي استردتها القطارة ديناميكيًا من خادم C2 معلومات التكوين لملف DEX ضار لتوزيع كود تطبيق Android؛ ملف DEX نفسه يحتوي على تعليمات برمجية ضارة لتثبيت الحمولة، والتكوين باستخدام عنوان URL للحمولة، وأخيرًا رمز لتنزيل Anatsa وتثبيته على الجهاز.
وقال Threat Fabric إن النهج متعدد المراحل والمحمل ديناميكيًا الذي تستخدمه الجهات الفاعلة في التهديد سمح لكل من المتسربين الذين استخدموه في الحملة الأخيرة بالتحايل على قيود AccessibilityService الأكثر صرامة التي طبقتها Google في Android 13.
بالنسبة للحملة الأخيرة، اختار مشغل Anatsa استخدام ما مجموعه خمس برامج قطارة متخفية في شكل تطبيقات مجانية لتنظيف الجهاز، وعارض PDF، وتطبيقات قارئ PDF على Google Play. وقالت ThreatFabric في تقريرها: "غالبًا ما تصل هذه التطبيقات إلى المراكز الثلاثة الأولى في فئة "أفضل التطبيقات المجانية الجديدة"، مما يعزز مصداقيتها ويقلل من حذر الضحايا المحتملين مع زيادة فرص التسلل الناجح". وبمجرد تثبيته على النظام، يمكن لـ Anasta سرقة بيانات الاعتماد والمعلومات الأخرى التي تسمح لممثل التهديد بالاستيلاء على الجهاز ثم تسجيل الدخول لاحقًا إلى الحساب المصرفي للمستخدم وسرقة الأموال منه.
كما هو الحال مع شركة Apple، نفذت Google العديد من آليات الأمان في السنوات الأخيرة لحماية بياناتك تجعل من الصعب على الجهات التهديدية تسلل التطبيقات الضارة إلى أجهزة Android عبر متجر تطبيقات الأجهزة المحمولة الرسمي. واحدة من أهمها هو Google Play Protect، وهي إحدى ميزات Android المضمنة التي تفحص عمليات تثبيت التطبيق في الوقت الفعلي بحثًا عن علامات تشير إلى سلوك ضار أو ضار، ثم تقوم بتنبيه التطبيق أو تعطيله إذا وجد أي شيء مريب. كما أن ميزة الإعدادات المقيدة لنظام Android جعلت من الصعب على جهات التهديد محاولة إصابة أجهزة Android عبر التطبيقات المحملة جانبيًا - أو التطبيقات من متاجر التطبيقات غير الرسمية.
ومع ذلك، تمكنت الجهات التهديدية من الاستمرار في ذلك تسلل البرامج الضارة إلى أجهزة Android عبر Play عن طريق إساءة استخدام ميزات مثل AccessibilityService لنظام Android، أو باستخدام عمليات العدوى متعددة المراحل وباستخدام مثبتات الحزم التي تحاكي تلك الموجودة في متجر Play لتحميل التطبيقات الضارة، حسبما قال ThreatFabric.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :لديها
- :يكون
- :ليس
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- من نحن
- إمكانية الوصول
- حسابي
- متراكم
- الإجراءات
- أنشطة
- الجهات الفاعلة
- بعد
- التنبيهات
- السماح
- سمح
- أيضا
- تغيير
- من بين
- an
- و
- الروبوت
- أندرويد 13
- أي وقت
- اى شى
- التطبيق
- المتجر
- ظهر
- تفاح
- تطبيق
- التطبيقات
- نهج
- التطبيقات
- AS
- At
- الهجمات
- أتمتة
- تلقائيا
- مصرف
- حساب البنك
- البنوك والمصارف
- البنوك
- BE
- كان
- البداية
- سلوك
- مدمج
- by
- الحملات
- CAN
- الفئة
- فرص
- اختار
- راوغ
- ادعى
- منظف
- الكود
- الاعداد
- استمر
- مراقبة
- دولة
- أوراق اعتماد
- المصداقية
- العملاء
- جمهورية التشيك
- خطير
- نقل
- وصف
- تصميم
- كشف
- جهاز
- الأجهزة
- التنفيذ المباشر
- الإعاقة
- اكتشاف
- خامد
- نشر
- توزيع
- تحميل
- يطلق عليها اسم
- أثناء
- حيوي
- كل
- أسهل
- القضاء
- تمكين
- جذاب
- تعزيز
- أوروبا
- المجلة الأوروبية
- الدول الأوروبية
- تنفيذ
- تنفيذ
- استغلال
- قماش
- بعيدا
- الميزات
- المميزات
- قم بتقديم
- ملفات
- أخيرا
- ويرى
- الاسم الأول
- خمسة
- في حالة
- أربعة
- فرنسا
- احتيال
- الكشف عن الغش
- مجانًا
- كثيرا
- تبدأ من
- وظيفة
- أموال
- ألمانيا
- دولار فقط واحصل على خصم XNUMX% على جميع
- شراء مراجعات جوجل
- Google Play
- الحرس
- نصفي
- أصعب
- الضارة
- يملك
- مرتفع
- لكن
- HTML
- HTTPS
- if
- نفذت
- in
- شامل
- في ازدياد
- العدوى
- info
- معلومات
- في البداية
- في البداية
- التركيب
- تثبيت
- تركيب
- تفاعل
- تفاعل
- إلى
- أدخلت
- IT
- إيطاليا
- انها
- نفسها
- JPG
- مملكة
- البلد
- الى وقت لاحق
- آخر
- الأقل
- شرعي
- مثل
- سجل
- خفض
- صنع
- جعل
- خبيث
- البرمجيات الخبيثة
- تمكن
- آليات
- الجوال
- تطبيقات الجوال
- تطبيقات الموبايل
- مراقبة
- المقبلة.
- أكثر
- كثيرا
- متعدد
- حاجة
- إحتياجات
- جديد
- لا
- وأشار
- لا شى
- نوفمبر
- كثير
- of
- رسمي
- غالبا
- on
- مرة
- ONE
- جارية
- فقط
- على
- عامل
- مشغلي
- or
- أخرى
- على مدى
- صفقة
- أذونات
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- اللعب مخزن
- محتمل
- يحتمل
- سابق
- سابقا
- عملية المعالجة
- العمليات
- غزير الإنتاج
- معدل
- الأجور
- الوصول
- قارئ
- في الوقت الحقيقي
- سبب
- تلقى
- الأخيرة
- المناطق
- نسبيا
- الافراج عن
- عن بعد
- تقرير
- جمهورية
- تطلب
- مقيد
- القيود
- s
- قال
- مسح
- أمن
- الخادم
- الخدمة
- إعدادات
- عدة
- هام
- لوحات
- منذ
- سلوفينيا
- تسلل
- So
- تختص
- الاحتياجات الخاصة
- المدعومة
- متجر
- فروعنا
- ناجح
- هذه
- اقترح
- مشكوك فيه
- نظام
- أخذ
- المستهدفة
- استهداف
- الأهداف
- أن
- •
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- هذا الأسبوع
- هؤلاء
- التهديد
- الجهات التهديد
- مرات
- إلى
- تيشرت
- الإجمالي
- حصان طروادة
- محاولة
- نوع
- تتكشف
- متحد
- المملكة المتحدة
- تحديث
- تم التحميل
- URL
- us
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- بائع
- بواسطة
- ضحايا
- المشاهدين
- موجة
- أمواج
- أسبوع
- ابحث عن
- متى
- التي
- في حين
- مع
- سنوات
- زفيرنت