Ein Bedrohungsakteur verwendet Malware-Dropper, die als legitime mobile Apps im Play Store von Google getarnt sind, um einen gefährlichen Banking-Trojaner namens „Anatsa“ an Android-Benutzer in mehreren europäischen Ländern zu verteilen.
Die Kampagne läuft seit mindestens vier Monaten und ist die jüngste Salve der Betreiber der Malware, die erstmals im Jahr 2020 auftauchte und bereits Opfer in den USA, Italien, Großbritannien, Frankreich, Deutschland und anderen Ländern hatte.
Hohe Infektionsrate
Forscher von ThreatFabric haben Anatsa seit seiner ersten Entdeckung beobachtet und die neue Angriffswelle entdeckt, die im November 2023 begann. In einem Bericht diese Woche Der Betrugserkennungsanbieter beschrieb, dass sich die Angriffe in mehreren unterschiedlichen Wellen abspielten und auf Kunden von Banken in der Slowakei, Slowenien und der Tschechischen Republik abzielten.
Bisher haben Android-Nutzer in den Zielregionen seit November mindestens 100,000 Mal Dropper für die Schadsoftware aus Googles Play Store heruntergeladen. In einer früheren Kampagne im ersten Halbjahr 2023, die ThreatFabric verfolgte, sammelten die Bedrohungsakteure über 130,000 Installationen ihrer bewaffneten Dropper für Anatsa aus dem mobilen App-Store von Google.
ThreatFabric führte die relativ hohen Infektionsraten auf den mehrstufigen Ansatz zurück, den die Dropper bei Google Play verwenden, um Anatsa auf Android-Geräten bereitzustellen. Wenn die Dropper zum ersten Mal auf Play hochgeladen werden, gibt es keine Hinweise darauf, dass sie sich böswillig verhalten. Erst nachdem sie auf Play gelandet sind, rufen die Dropper dynamisch Code zum Ausführen böswilliger Aktionen von einem Remote-Befehls- und Kontrollserver (C2) ab.
Einer der als Cleaner-App getarnten Dropper gab an, aus scheinbar legitimen Gründen Berechtigungen für die Barrierefreiheitsfunktion von Android zu benötigen. Der Barrierefreiheitsdienst von Android ist eine besondere Art von Funktion, die Benutzern mit Behinderungen und besonderen Bedürfnissen die Interaktion mit Android-Apps erleichtern soll. Bedrohungsakteure haben diese Funktion häufig ausgenutzt, um die Installation von Payloads auf Android-Geräten zu automatisieren und die Notwendigkeit jeglicher Benutzerinteraktion während des Prozesses zu beseitigen.
Mehrstufiger Ansatz
„Anfangs erschien die [sauberere] App harmlos, ohne bösartigen Code und ihr AccessibilityService beteiligte sich nicht an schädlichen Aktivitäten“, sagte ThreatFabric. „Eine Woche nach der Veröffentlichung führte ein Update jedoch bösartigen Code ein. Dieses Update veränderte die Funktionalität des AccessibilityService und ermöglichte es ihm, böswillige Aktionen wie das automatische Klicken auf Schaltflächen auszuführen, sobald er eine Konfiguration vom C2-Server erhielt“, bemerkte der Anbieter.
Die Dateien, die der Dropper dynamisch vom C2-Server abgerufen hat, enthielten Konfigurationsinformationen für eine bösartige DEX-Datei zur Verbreitung von Android-Anwendungscode; eine DEX-Datei selbst mit bösartigem Code für die Payload-Installation, Konfiguration mit einer Payload-URL und schließlich Code zum Herunterladen und Installieren von Anatsa auf dem Gerät.
Der mehrstufige, dynamisch geladene Ansatz der Bedrohungsakteure ermöglichte es jedem der Dropper, die sie in der neuesten Kampagne verwendeten, die strengeren AccessibilityService-Einschränkungen zu umgehen, die Google in Android 13 eingeführt hat, so Threat Fabric.
Für die neueste Kampagne entschied sich der Betreiber von Anatsa für den Einsatz von insgesamt fünf Droppern, die als kostenlose Gerätereinigungs-Apps, PDF-Viewer und PDF-Reader-Apps bei Google Play getarnt sind. „Diese Anwendungen erreichen oft die Top 3 in der Kategorie ‚Top New Free‘, was ihre Glaubwürdigkeit erhöht und den Schutz potenzieller Opfer verringert, während gleichzeitig die Chancen einer erfolgreichen Infiltration erhöht werden“, sagte ThreatFabric in seinem Bericht. Sobald Anasta auf einem System installiert ist, kann es Anmeldeinformationen und andere Informationen stehlen, die es dem Bedrohungsakteur ermöglichen, das Gerät zu übernehmen, sich später beim Bankkonto des Benutzers anzumelden und Geld davon zu stehlen.
Wie Apple hat auch Google in den letzten Jahren zahlreiche Sicherheitsmechanismen implementiert Machen Sie es Bedrohungsakteuren schwerer, bösartige Apps einzuschleusen über den offiziellen mobilen App-Store auf Android-Geräte übertragen. Einer der bedeutendsten unter ihnen ist Google Play schützen, eine integrierte Android-Funktion, die App-Installationen in Echtzeit auf Anzeichen potenziell böswilligen oder schädlichen Verhaltens scannt und die App dann benachrichtigt oder deaktiviert, wenn sie etwas Verdächtiges findet. Die eingeschränkte Einstellungsfunktion von Android hat es Bedrohungsakteuren außerdem erheblich erschwert, zu versuchen, Android-Geräte über seitlich geladene Apps – oder Apps aus inoffiziellen App-Stores – zu infizieren.
Dennoch ist es den Bedrohungsakteuren gelungen, dies weiterhin zu tun Schadsoftware auf Android-Geräte einzuschleusen über Play durch den Missbrauch von Funktionen wie dem AccessibilityService von Android oder durch die Verwendung mehrstufiger Infektionsprozesse und durch die Verwendung von Paketinstallationsprogrammen, die die im Play Store nachahmen, um schädliche Apps quer zu laden, so ThreatFabric.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :hast
- :Ist
- :nicht
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Über Uns
- Zugänglichkeit
- Konto
- Angesammelt
- Aktionen
- Aktivitäten
- Akteure
- Nach der
- Warnmeldungen
- erlauben
- erlaubt
- ebenfalls
- verändert
- unter
- an
- und
- androide
- Android 13
- jedem
- etwas
- App
- App Store
- erschienen
- Apple
- Anwendung
- Anwendungen
- Ansatz
- Apps
- AS
- At
- Anschläge
- automatisieren
- Im Prinzip so, wie Sie es von Google Maps kennen.
- Bank
- Bankkonto
- Bankinggg
- Banken
- BE
- war
- Anfang
- Verhalten
- eingebaut
- by
- Kampagnen (Campaign)
- CAN
- Kategorie
- Chancen
- wählten
- umgehen
- behauptet
- Ultrascha
- Code
- Konfiguration
- fortsetzen
- Smartgeräte App
- Ländern
- Referenzen
- Kommunikation
- Kunden
- Tschechien
- Gefährlich
- Übergeben
- beschrieben
- entworfen
- Entdeckung
- Gerät
- Geräte
- Dex
- Behinderungen
- Entdeckung
- deutlich
- verteilen
- verteilen
- Herunterladen
- synchronisiert
- im
- dynamisch
- jeder
- einfacher
- beseitigen
- ermöglichen
- Eingriff
- Eine Verbesserung der
- Europa
- Europäische
- Europäische Länder
- ausführen
- Ausführung
- Exploited
- Stoff
- weit
- Merkmal
- Eigenschaften
- Reichen Sie das
- Mappen
- Endlich
- findet
- Vorname
- fünf
- Aussichten für
- vier
- Frankreich
- Betrug
- Betrugserkennung
- Frei
- häufig
- für
- Funktionalität
- Mittel
- Deutschland
- bekommen
- Google Play
- Bewachen
- Hälfte
- Schwerer
- schädlich
- Haben
- GUTE
- aber
- HTML
- HTTPS
- if
- umgesetzt
- in
- inklusive
- zunehmend
- Infektionen
- Info
- Information
- Anfangs-
- anfänglich
- Installation
- installiert
- Installieren
- interagieren
- Interaktion
- in
- eingeführt
- IT
- Italien
- SEINE
- selbst
- jpg
- Reich Gottes
- Land
- später
- neueste
- am wenigsten
- legitim
- Gefällt mir
- Log
- Senkung
- gemacht
- um
- böswilligen
- Malware
- verwaltet
- Mechanismen
- Mobil
- App
- Handy-Apps
- Überwachung
- Monat
- vor allem warme
- viel
- mehrere
- Need
- Bedürfnisse
- Neu
- nicht
- bekannt
- nichts
- November
- und viele
- of
- offiziell
- vorgenommen,
- on
- einmal
- EINEM
- laufend
- einzige
- auf zu
- Operator
- Betreiber
- or
- Andere
- übrig
- Paket
- Berechtigungen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Play
- Google Play
- Potenzial
- möglicherweise
- früher
- vorher
- Prozessdefinierung
- anpassen
- produktiv
- Bewerten
- Honorar
- erreichen
- Leser
- Echtzeit
- Grund
- Received
- kürzlich
- Regionen
- verhältnismäßig
- Release
- entfernt
- berichten
- Republik
- erfordern
- eingeschränkt
- Einschränkungen
- s
- Said
- scannt
- Sicherheitdienst
- Server
- Einstellungen
- mehrere
- signifikant
- Schilder
- da
- Slowenien
- schleichen
- So
- besondere
- besondere Bedürfnisse
- Sponsored
- speichern
- Läden
- erfolgreich
- so
- vorschlagen
- misstrauisch
- System
- Nehmen
- gezielt
- Targeting
- Ziele
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- Dort.
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- diese Woche
- diejenigen
- Bedrohung
- Bedrohungsakteure
- mal
- zu
- Top
- Gesamt
- Trojan
- versuchen
- tippe
- Entfaltung
- Vereinigt
- Großbritannien
- Aktualisierung
- hochgeladen
- URL
- us
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- Verkäufer
- Opfer
- weltweit
- Wave
- Wellen
- Woche
- Was
- wann
- welche
- während
- mit
- Jahr
- Zephyrnet