En trusselsaktør bruger malware-droppere forklædt som legitime mobilapps i Googles Play-butik til at distribuere en farlig banktrojaner kaldet "Anatsa" til Android-brugere i flere europæiske lande.
Kampagnen har været i gang i mindst fire måneder og er den seneste salve fra operatørerne af malwaren, som først dukkede op i 2020 og tidligere har noteret ofre i USA, Italien, Storbritannien, Frankrig, Tyskland og andre lande.
Produktiv forekomst af infektioner
Forskere fra ThreatFabric har overvåget Anatsa siden dens første opdagelse og opdagede den nye bølge af angreb, der begyndte i november 2023. I en rapport i denne uge, leverandøren af svigafsløring beskrev angrebene som udspillede i flere forskellige bølger rettet mod kunder fra banker i Slovakiet, Slovenien og Tjekkiet.
Indtil videre har Android-brugere i de målrettede områder downloadet droppere for malwaren fra Googles Play-butik mindst 100,000 gange siden november. I en tidligere kampagne i første halvdel af 2023, som ThreatFabric sporede, akkumulerede trusselsaktørerne over 130,000 installationer af deres våbendråber til Anatsa fra Googles mobilappbutik.
ThreatFabric tilskrev de relativt høje infektionsrater til den muti-stage tilgang, som dropperne på Google Play bruger til at levere Anatsa på Android-enheder. Når dropperne først bliver uploadet til Play, er der intet ved dem, der tyder på ondsindet adfærd. Det er først efter at de er landet på Play, at dropperne dynamisk henter kode til at udføre ondsindede handlinger fra en fjernkommando- og kontrolserver (C2).
En af dropperne, forklædt som en renere app, hævdede at kræve tilladelser til Androids Accessibility Service-funktion af hvad der så ud til at være en legitim grund. Androids tilgængelighedstjeneste er en speciel type funktion, der er designet til at gøre det nemmere for brugere med handicap og særlige behov at interagere med Android-apps. Trusselaktører har ofte udnyttet funktionen til at automatisere installationen af nyttelast på Android-enheder og eliminere behovet for enhver brugerinteraktion under processen.
Flertrins tilgang
"Oprindeligt virkede den [renere] app harmløs, uden ondsindet kode og dens AccessibilityService involverede ikke nogen skadelige aktiviteter," sagde ThreatFabric. "Men en uge efter udgivelsen introducerede en opdatering ondsindet kode. Denne opdatering ændrede AccessibilityService-funktionaliteten, hvilket gjorde det muligt for den at udføre ondsindede handlinger såsom automatisk at klikke på knapper, når den modtog en konfiguration fra C2-serveren," bemærkede leverandøren.
De filer, som dropperen dynamisk hentede fra C2-serveren, inkluderede konfigurationsoplysninger for en ondsindet DEX-fil til distribution af Android-applikationskode; en DEX-fil i sig selv med ondsindet kode til installation af nyttelast, konfiguration med en nyttelast-URL og til sidst kode til download og installation af Anatsa på enheden.
Den multi-trins, dynamisk indlæste tilgang, der blev brugt af trusselsaktørerne, gjorde det muligt for hver af de droppere, som de brugte i den seneste kampagne, at omgå de skrappere AccessibilityService-begrænsninger, som Google implementerede i Android 13, sagde Threat Fabric.
Til den seneste kampagne valgte operatøren af Anatsa at bruge i alt fem droppere forklædt som gratis apps til enhedsrenere, PDF-fremvisere og PDF-læser-apps på Google Play. "Disse applikationer når ofte Top-3 i kategorien 'Top nye gratis', hvilket øger deres troværdighed og sænker vagten af potentielle ofre, mens de øger chancerne for vellykket infiltration," sagde ThreatFabric i sin rapport. Når den er installeret på et system, kan Anasta stjæle legitimationsoplysninger og anden information, der gør det muligt for trusselsaktøren at overtage enheden og senere logge ind på brugerens bankkonto og stjæle penge fra den.
Ligesom Apple har Google implementeret adskillige sikkerhedsmekanismer i de seneste år for at gøre det sværere for trusselsaktører at snige ondsindede apps til Android-enheder via dens officielle mobilapp-butik. En af de mest betydningsfulde blandt dem er Google Play Protect, en indbygget Android-funktion, der scanner app-installationer i realtid for tegn på potentielt ondsindet eller skadelig adfærd og derefter advarer eller deaktiverer appen, hvis den finder noget mistænkeligt. Androids begrænsede indstillinger har også gjort det meget sværere for trusselsaktører at forsøge at inficere Android-enheder via sideloadede apps – eller apps fra uofficielle applikationsbutikker.
Alligevel har trusselsaktører formået at fortsætte med det snige malware ind på Android-enheder via Play ved at misbruge funktioner som Androids AccessibilityService eller ved at bruge flertrinsinfektionsprocesser og ved at bruge pakkeinstallationsprogrammer, der efterligner dem i Play Butik til at sideloade ondsindede apps, sagde ThreatFabric.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :har
- :er
- :ikke
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Om
- tilgængelighed
- Konto
- Akkumuleret
- aktioner
- aktiviteter
- aktører
- Efter
- Advarsler
- tillade
- tilladt
- også
- ændret
- blandt
- an
- ,
- android
- Android 13
- enhver
- noget
- app
- app Store
- dukkede
- Apple
- Anvendelse
- applikationer
- tilgang
- apps
- AS
- At
- Angreb
- automatisere
- automatisk
- Bank
- bankkonto
- Bank
- Banker
- BE
- været
- Begyndelse
- adfærd
- indbygget
- by
- Kampagne
- CAN
- Boligtype
- odds
- valgte
- omgå
- hævdede
- renere
- kode
- Konfiguration
- fortsæt
- kontrol
- lande
- Legitimationsoplysninger
- Troværdighed
- Kunder
- Tjekkiet
- Dangerous
- levere
- beskrevet
- konstrueret
- Detektion
- enhed
- Enheder
- Dex
- handicap
- opdagelse
- distinkt
- distribuere
- distribution
- downloading
- døbt
- i løbet af
- dynamisk
- hver
- lettere
- eliminere
- muliggør
- engagerende
- styrke
- Europa
- europæisk
- Europæiske lande
- udføre
- udførelse
- Exploited
- stof
- langt
- Feature
- Funktionalitet
- File (Felt)
- Filer
- Endelig
- fund
- Fornavn
- fem
- Til
- fire
- Fransk vin
- bedrageri
- bedrageri afsløring
- Gratis
- hyppigt
- fra
- funktionalitet
- fonde
- Tyskland
- få
- Google Play
- Guard
- Halvdelen
- hårdere
- skadelig
- Have
- Høj
- Men
- HTML
- HTTPS
- if
- implementeret
- in
- medtaget
- stigende
- infektioner
- info
- oplysninger
- initial
- i første omgang
- installation
- installeret
- installation
- interagere
- interaktion
- ind
- introduceret
- IT
- Italiensk vin
- ITS
- selv
- jpg
- Kingdom
- Land
- senere
- seneste
- mindst
- legitim
- ligesom
- log
- Sænkning
- lavet
- lave
- ondsindet
- malware
- lykkedes
- mekanismer
- Mobil
- Mobil app
- mobil-apps
- overvågning
- måned
- mest
- meget
- flere
- Behov
- behov
- Ny
- ingen
- bemærkede
- intet
- november
- talrige
- of
- officiel
- tit
- on
- engang
- ONE
- igangværende
- kun
- på
- operatør
- Operatører
- or
- Andet
- i løbet af
- pakke
- Tilladelser
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- Play butik
- potentiale
- potentielt
- tidligere
- tidligere
- behandle
- Processer
- frodig
- Sats
- priser
- nå
- Læser
- realtid
- grund
- modtaget
- nylige
- regioner
- relativt
- frigive
- fjern
- indberette
- Republikken
- kræver
- begrænset
- restriktioner
- s
- Said
- scanninger
- sikkerhed
- server
- tjeneste
- indstillinger
- flere
- signifikant
- Skilte
- siden
- Slovenien
- snige
- So
- særligt
- særlige behov
- Sponsoreret
- butik
- forhandler
- vellykket
- sådan
- tyder
- mistænksom
- systemet
- Tag
- målrettet
- rettet mod
- mål
- at
- deres
- Them
- derefter
- Der.
- Disse
- de
- denne
- denne uge
- dem
- trussel
- trusselsaktører
- gange
- til
- top
- I alt
- Trojan
- prøv
- typen
- udfoldelse
- Forenet
- Storbritannien
- Opdatering
- uploadet
- URL
- us
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- sælger
- via
- ofre
- seere
- Wave
- bølger
- uge
- Hvad
- hvornår
- som
- mens
- med
- år
- zephyrnet