Ένας παράγοντας απειλών χρησιμοποιεί droppers κακόβουλου λογισμικού που μεταμφιέζονται ως νόμιμες εφαρμογές για κινητά στο Play store της Google για να διανείμει έναν επικίνδυνο τραπεζικό Trojan με το όνομα "Anatsa" σε χρήστες Android σε πολλές ευρωπαϊκές χώρες.
Η εκστρατεία συνεχίζεται για τουλάχιστον τέσσερις μήνες και είναι η πιο πρόσφατη καταστροφή από τους χειριστές του κακόβουλου λογισμικού, το οποίο εμφανίστηκε για πρώτη φορά το 2020 και στο παρελθόν είχε εντοπίσει θύματα στις ΗΠΑ, την Ιταλία, το Ηνωμένο Βασίλειο, τη Γαλλία, τη Γερμανία και άλλες χώρες.
παραγωγικό ποσοστό λοιμώξεων
Ερευνητές από το ThreatFabric παρακολουθούσαν το Anatsa από την αρχική του ανακάλυψη και εντόπισαν το νέο κύμα επιθέσεων που ξεκίνησε τον Νοέμβριο του 2023. Σε μια αναφορά αυτή την εβδομάδα, ο πωλητής εντοπισμού απάτης περιέγραψε τις επιθέσεις ως εκτυλισσόμενες σε πολλαπλά διακριτά κύματα που στοχεύουν πελάτες τραπεζών στη Σλοβακία, τη Σλοβενία και την Τσεχική Δημοκρατία.
Μέχρι στιγμής, οι χρήστες Android στις στοχευμένες περιοχές έχουν κατεβάσει droppers για το κακόβουλο λογισμικό από το Play store της Google τουλάχιστον 100,000 φορές από τον Νοέμβριο. Σε μια προηγούμενη καμπάνια κατά το πρώτο εξάμηνο του 2023 που παρακολούθησε η ThreatFabric, οι παράγοντες απειλών συσσώρευσαν πάνω από 130,000 εγκαταστάσεις των οπλισμένων σταγονόμετρών της για το Anatsa από το κατάστημα εφαρμογών για κινητά της Google.
Το ThreatFabric απέδωσε τα σχετικά υψηλά ποσοστά μόλυνσης στην προσέγγιση των σταδίων που χρησιμοποιούν τα droppers στο Google Play για την παράδοση του Anatsa σε συσκευές Android. Όταν τα dropper ανεβαίνουν αρχικά στο Play, δεν υπάρχει τίποτα που να υποδηλώνει κακόβουλη συμπεριφορά. Μόνο αφού προσγειωθούν στο Play, τα droppers ανακτούν δυναμικά τον κώδικα για την εκτέλεση κακόβουλων ενεργειών από έναν απομακρυσμένο διακομιστή εντολών και ελέγχου (C2).
Ένα από τα droppers, μεταμφιεσμένο σε μια πιο καθαρή εφαρμογή, ισχυρίστηκε ότι απαιτούσε δικαιώματα για τη λειτουργία Accessibility Service του Android για κάτι που φαινόταν ως νόμιμο λόγο. Η υπηρεσία προσβασιμότητας του Android είναι ένας ειδικός τύπος λειτουργίας που έχει σχεδιαστεί για να διευκολύνει τους χρήστες με αναπηρίες και ειδικές ανάγκες να αλληλεπιδρούν με εφαρμογές Android. Οι φορείς απειλών έχουν εκμεταλλευτεί συχνά τη δυνατότητα για να αυτοματοποιήσουν την εγκατάσταση ωφέλιμου φορτίου σε συσκευές Android και να εξαλείψουν την ανάγκη για οποιαδήποτε αλληλεπίδραση με τον χρήστη κατά τη διάρκεια της διαδικασίας.
Προσέγγιση πολλαπλών σταδίων
«Αρχικά η εφαρμογή [cleaner] φαινόταν αβλαβής, χωρίς κακόβουλο κώδικα και η AccessibilityService της δεν εμπλέκεται σε επιβλαβείς δραστηριότητες», δήλωσε η ThreatFabric. «Ωστόσο, μια εβδομάδα μετά την κυκλοφορία του, μια ενημέρωση εισήγαγε κακόβουλο κώδικα. Αυτή η ενημέρωση άλλαξε τη λειτουργία AccessibilityService, επιτρέποντάς της να εκτελεί κακόβουλες ενέργειες, όπως αυτόματο κλικ σε κουμπιά μόλις λάβει μια διαμόρφωση από τον διακομιστή C2», σημείωσε ο προμηθευτής.
Τα αρχεία που το σταγονόμετρο ανακτούσε δυναμικά από τον διακομιστή C2 περιλάμβαναν πληροφορίες διαμόρφωσης για ένα κακόβουλο αρχείο DEX για τη διανομή του κώδικα εφαρμογής Android. ένα ίδιο το αρχείο DEX με κακόβουλο κώδικα για εγκατάσταση ωφέλιμου φορτίου, διαμόρφωση με URL ωφέλιμου φορτίου και τέλος κωδικό για λήψη και εγκατάσταση του Anatsa στη συσκευή.
Η προσέγγιση πολλαπλών σταδίων, δυναμικά φορτωμένης που χρησιμοποιήθηκε από τους παράγοντες απειλών επέτρεψε σε καθένα από τα droppers που χρησιμοποίησαν στην τελευταία καμπάνια να παρακάμψει τους αυστηρότερους περιορισμούς AccessibilityService που εφάρμοσε η Google στο Android 13, είπε η Threat Fabric.
Για την τελευταία καμπάνια, ο χειριστής του Anatsa επέλεξε να χρησιμοποιήσει συνολικά πέντε droppers μεταμφιεσμένα σε δωρεάν εφαρμογές καθαρισμού συσκευών, προγράμματα προβολής PDF και εφαρμογές ανάγνωσης PDF στο Google Play. «Αυτές οι εφαρμογές συχνά φτάνουν στο Top-3 στην κατηγορία «Κορυφαία Νέα Δωρεάν», ενισχύοντας την αξιοπιστία τους και μειώνοντας την επιφυλακή των πιθανών θυμάτων ενώ αυξάνουν τις πιθανότητες επιτυχούς διείσδυσης», ανέφερε η ThreatFabric στην έκθεσή της. Μόλις εγκατασταθεί σε ένα σύστημα, η Anasta μπορεί να κλέψει διαπιστευτήρια και άλλες πληροφορίες που επιτρέπουν στον παράγοντα απειλής να αναλάβει τη συσκευή και αργότερα να συνδεθεί στον τραπεζικό λογαριασμό του χρήστη και να κλέψει χρήματα από αυτόν.
Όπως και η Apple, η Google έχει εφαρμόσει πολλούς μηχανισμούς ασφαλείας τα τελευταία χρόνια καθιστούν πιο δύσκολο για τους φορείς απειλών να κρυφτούν κακόβουλες εφαρμογές σε συσκευές Android μέσω του επίσημου καταστήματος εφαρμογών για κινητά. Ένα από τα πιο σημαντικά μεταξύ τους είναι Προστασία Google Play, μια ενσωματωμένη λειτουργία Android που σαρώνει τις εγκαταστάσεις εφαρμογών σε πραγματικό χρόνο για ενδείξεις δυνητικά κακόβουλης ή επιβλαβούς συμπεριφοράς και, στη συνέχεια, ειδοποιεί ή απενεργοποιεί την εφαρμογή εάν βρει κάτι ύποπτο. Η λειτουργία περιορισμένων ρυθμίσεων του Android έχει καταστήσει επίσης πολύ πιο δύσκολο για τους φορείς απειλών να προσπαθούν να μολύνουν συσκευές Android μέσω εφαρμογών πλευρικής φόρτωσης — ή εφαρμογών από ανεπίσημα καταστήματα εφαρμογών.
Ακόμα κι έτσι, οι παράγοντες της απειλής κατάφεραν να συνεχίσουν κρυφά κακόβουλο λογισμικό σε συσκευές Android μέσω του Play κάνοντας κατάχρηση λειτουργιών όπως η AccessibilityService του Android ή χρησιμοποιώντας διαδικασίες μόλυνσης πολλαπλών σταδίων και χρησιμοποιώντας προγράμματα εγκατάστασης πακέτων που μιμούνται αυτά στο Play store για να φορτώσουν κακόβουλες εφαρμογές, δήλωσε η ThreatFabric.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :έχει
- :είναι
- :δεν
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Σχετικα
- προσιτότητα
- Λογαριασμός
- Συσσωρευμένος
- ενεργειών
- δραστηριοτήτων
- φορείς
- Μετά το
- Ειδοποιήσεις
- επιτρέπουν
- επιτρέπεται
- Επίσης
- μεταβάλλεται
- μεταξύ των
- an
- και
- android
- Android 13
- κάθε
- οτιδήποτε
- app
- app κατάστημα
- Εμφανίστηκε
- Apple
- Εφαρμογή
- εφαρμογές
- πλησιάζω
- εφαρμογές
- AS
- At
- Επιθέσεις
- αυτοματοποίηση
- αυτομάτως
- Τράπεζα
- τραπεζικό λογαριασμό
- Τράπεζες
- Τράπεζες
- BE
- ήταν
- Αρχή
- συμπεριφορά
- ενσωματωμένο
- by
- Εκστρατεία
- CAN
- κατηγορία
- πιθανότητα
- επέλεξε
- ματαιώνω
- ισχυρίστηκε
- καθαριστής
- κωδικός
- διαμόρφωση
- ΣΥΝΕΧΕΙΑ
- έλεγχος
- χώρες
- Διαπιστεύσεις
- Αξιοπιστία
- Πελάτες
- Δημοκρατία της Τσεχίας
- Επικίνδυνες
- παραδώσει
- περιγράφεται
- σχεδιασμένα
- Ανίχνευση
- συσκευή
- Συσκευές
- Dex
- αναπηρίες
- ανακάλυψη
- διακριτή
- διανέμω
- διανομή
- κατέβασμα
- μεταγλωττισμένο
- κατά την διάρκεια
- δυναμικά
- κάθε
- ευκολότερη
- την εξάλειψη
- ενεργοποίηση
- ελκυστικός
- ενίσχυση
- Ευρώπη
- ευρωπαϊκός
- ΕΥΡΩΠΑΙΚΕΣ ΧΩΡΕΣ
- εκτελέσει
- εκτέλεσης
- Κακοποιημένα
- ύφασμα
- μακριά
- Χαρακτηριστικό
- Χαρακτηριστικά
- Αρχεία
- Αρχεία
- Τελικά
- ευρήματα
- Όνομα
- πέντε
- Για
- τέσσερα
- Γαλλία
- απάτη
- ανίχνευση απάτης
- Δωρεάν
- συχνά
- από
- λειτουργικότητα
- χρήματα
- Germany
- παίρνω
- Το Google Play
- φρουρά
- Ήμισυ
- σκληρότερα
- επιβλαβής
- Έχω
- Ψηλά
- Ωστόσο
- HTML
- HTTPS
- if
- εφαρμοστεί
- in
- περιλαμβάνονται
- αύξηση
- λοιμώξεις
- πληροφορίες
- πληροφορίες
- αρχικός
- αρχικά
- εγκατάσταση
- εγκατασταθεί
- εγκατάσταση
- αλληλεπιδρούν
- αλληλεπίδραση
- σε
- εισήγαγε
- IT
- Ιταλία
- ΤΟΥ
- εαυτό
- jpg
- Βασίλειο
- Οικόπεδο
- αργότερα
- αργότερο
- ελάχιστα
- νόμιμος
- Μου αρέσει
- κούτσουρο
- Μείωση
- που
- κάνω
- κακόβουλο
- malware
- διαχειρίζεται
- μηχανισμούς
- Κινητό
- εφαρμογή για κινητά
- mobile-εφαρμογές
- παρακολούθηση
- μήνες
- πλέον
- πολύ
- πολλαπλούς
- Ανάγκη
- ανάγκες
- Νέα
- Όχι.
- Σημειώνεται
- τίποτα
- Νοέμβριος
- πολυάριθμες
- of
- επίσημος ανώτερος υπάλληλος
- συχνά
- on
- μια φορά
- ONE
- συνεχή
- αποκλειστικά
- επάνω σε
- χειριστής
- φορείς
- or
- ΑΛΛΑ
- επί
- πακέτο
- δικαιώματα
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- Play Store
- δυναμικού
- ενδεχομένως
- προηγούμενος
- προηγουμένως
- διαδικασια μας
- Διεργασίες
- γόνιμος
- Τιμή
- Τιμές
- φθάσουν
- Αναγνώστης
- σε πραγματικό χρόνο
- λόγος
- έλαβε
- πρόσφατος
- περιοχές
- σχετικά
- απελευθερώνουν
- μακρινός
- αναφέρουν
- Δημοκρατία
- απαιτούν
- περιορισμένος
- περιορισμούς
- s
- Είπε
- σαρώσεις
- ασφάλεια
- διακομιστής
- υπηρεσία
- ρυθμίσεις
- διάφοροι
- σημαντικός
- Σημάδια
- αφού
- Slovenia
- σπιούνος
- So
- ειδική
- ειδικές ανάγκες
- ΧΟΡΗΓΟΥΜΕΝΟΙ
- κατάστημα
- καταστήματα
- επιτυχής
- τέτοιος
- προτείνω
- ύποπτος
- σύστημα
- Πάρτε
- στοχευμένες
- στόχευση
- στόχους
- ότι
- Η
- τους
- Τους
- τότε
- Εκεί.
- Αυτοί
- αυτοί
- αυτό
- αυτή την εβδομάδα
- εκείνοι
- απειλή
- απειλή
- φορές
- προς την
- κορυφή
- Σύνολο
- Trojan
- προσπαθώ
- τύπος
- ξεδιπλώνοντας
- Ενωμένος
- Ηνωμένο Βασίλειο
- Ενημέρωση
- Φορτώθηκε
- URL
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- πάροχος υπηρεσιών
- μέσω
- θύματα
- θεατές
- WAVE
- κύματα
- εβδομάδα
- Τι
- πότε
- Ποιό
- ενώ
- με
- χρόνια
- zephyrnet