Ohtnäitleja kasutab Google Play poes seaduslike mobiilirakendustena maskeeritud pahavara tilgutajaid, et levitada ohtlikku pangandustroojalast nimega Anatsa Androidi kasutajatele mitmes Euroopa riigis.
Kampaania on kestnud vähemalt neli kuud ja see on 2020. aastal esmakordselt ilmunud pahavara operaatorite värskeim salv, mis on varem ohvreid toonud USA-s, Itaalias, Ühendkuningriigis, Prantsusmaal, Saksamaal ja teistes riikides.
Infektsioonide arvukus
ThreatFabrici teadlased on Anatsat jälginud alates selle esialgsest avastamisest ja märganud uut rünnakute lainet, mis algab 2023. aasta novembris. Selle nädala raportis Pettuste tuvastamise müüja kirjeldas rünnakuid mitme erineva lainena, mis olid suunatud Slovakkia, Sloveenia ja Tšehhi Vabariigi pankade klientidele.
Siiani on Androidi kasutajad sihtpiirkondades Google Play poest pahavara jaoks tilgutit alla laadinud vähemalt 100,000 2023 korda alates novembrist. Eelmises 130,000. aasta esimese poole kampaanias, mida ThreatFabric jälgis, kogusid ohus osalejad Anatsa jaoks Google'i mobiilirakenduste poest üle XNUMX XNUMX relvastatud tilguti paigalduse.
ThreatFabric seostas suhteliselt kõrge nakatumise määra mitmeastmelise lähenemisega, mida Google Play tilgutajad Anatsa Android-seadmetes tarnimiseks kasutavad. Kui tilgutajad algselt Playsse üles laaditakse, ei viita neis miski pahatahtlikule käitumisele. Alles pärast Playsse jõudmist toovad tilgutajad dünaamiliselt koodi pahatahtlike toimingute tegemiseks kaugkäsu- ja juhtimisserverist (C2).
Üks puhtamaks rakenduseks maskeeritud tilgutitest väitis, et nõuab Androidi juurdepääsetavuse teenuse funktsiooni jaoks õigusi, mis näis olevat õigustatud. Androidi juurdepääsetavuse teenus on eritüüpi funktsioon, mis on loodud puuetega ja erivajadustega kasutajatele Androidi rakendustega suhtlemise hõlbustamiseks. Ohutegijad on seda funktsiooni sageli kasutanud, et automatiseerida Android-seadmetes kasuliku koormuse installimist ja kõrvaldada vajadus kasutaja sekkumise järele protsessi ajal.
Mitmeastmeline lähenemine
"Algselt tundus [puhastaja] rakendus kahjutu, ilma pahatahtliku koodita ja selle AccessibilityService ei osalenud kahjulikes tegevustes," ütles ThreatFabric. "Kuid nädal pärast selle avaldamist tutvustas värskendus pahatahtlikku koodi. See värskendus muutis AccessibilityService'i funktsionaalsust, võimaldades sellel sooritada pahatahtlikke toiminguid, nagu näiteks nuppude automaatne klõpsamine, kui see sai C2-serverist konfiguratsiooni,“ märkis müüja.
Failid, mille dropper dünaamiliselt C2-serverist hankis, sisaldasid Androidi rakenduse koodi levitamiseks mõeldud pahatahtliku DEX-faili konfiguratsiooniteavet; DEX-fail ise koos ründekoodiga kasuliku koormuse installimiseks, konfiguratsiooni koos kasuliku koormuse URL-iga ja lõpuks koodiga Anatsa allalaadimiseks ja seadmesse installimiseks.
Ohutegurite kasutatav mitmeastmeline, dünaamiliselt laaditud lähenemisviis võimaldas kõigil viimases kampaanias kasutatud tilgutitel mööda hiilida rangematest AccessibilityService piirangutest, mille Google rakendas operatsioonisüsteemis Android 13, ütles Threat Fabric.
Viimase kampaania jaoks valis Anatsa operaator Google Plays kasutama kokku viit tilgutit, mis on maskeeritud tasuta seadmepuhastusrakendusteks, PDF-vaaturiteks ja PDF-lugejarakendusteks. "Need rakendused jõuavad sageli kategooria "Top New Free" Top-3 hulka, suurendades nende usaldusväärsust ja vähendades potentsiaalsete ohvrite kaitset, suurendades samal ajal eduka sissetungimise võimalusi," ütles ThreatFabric oma aruandes. Pärast süsteemi installimist saab Anasta varastada mandaate ja muud teavet, mis võimaldab ohus osalejal seade üle võtta ning hiljem kasutaja pangakontole sisse logida ja sellelt raha varastada.
Nagu Apple, on Google viimastel aastatel rakendanud mitmeid turvamehhanisme muuta ohus osalejate jaoks pahatahtlike rakenduste hiilimise raskemaks Android-seadmetesse ametliku mobiilirakenduste poe kaudu. Üks olulisemaid neist on Google Play kaitsta, sisseehitatud Androidi funktsioon, mis kontrollib reaalajas rakenduste installimisi potentsiaalselt pahatahtliku või kahjuliku käitumise märkide suhtes, seejärel hoiatab või keelab rakenduse, kui see leiab midagi kahtlast. Androidi piiratud seadete funktsioon on samuti muutnud ohus osalejate jaoks Android-seadmete nakatamise külglaaditud rakenduste või mitteametlikest rakenduste poodidest pärit rakenduste kaudu palju raskemaks.
Sellegipoolest on ohus osalejad suutnud seda jätkata vargsi pahavara Android-seadmetesse ThreatFabrici sõnul kuritarvitades selliseid funktsioone nagu Androidi AccessibilityService või kasutades mitmeastmelisi nakatumisprotsesse ja kasutades Play poe installijaid jäljendavaid pakette.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :on
- :on
- :mitte
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- MEIST
- kättesaadavus
- konto
- Kogunenud
- meetmete
- tegevus
- osalejad
- pärast
- Märguanded
- võimaldama
- lubatud
- Ka
- muuta
- vahel
- an
- ja
- android
- Android 13
- mistahes
- midagi
- app
- App Store
- ilmunud
- õun
- taotlus
- rakendused
- lähenemine
- apps
- AS
- At
- Reageerib
- automatiseerima
- automaatselt
- Pank
- pangakonto
- Pangandus
- Pangad
- BE
- olnud
- Algus
- käitumine
- sisseehitatud
- by
- Kampaania
- CAN
- Kategooria
- vastuolu
- Valisin
- mööda hiilida
- väitis
- puhasti
- kood
- konfiguratsioon
- jätkama
- kontrollida
- riikides
- volikiri
- usutavus
- Kliendid
- Tšehhi Vabariik
- Ohtlik
- tarnima
- kirjeldatud
- kavandatud
- Detection
- seade
- seadmed
- Dex
- puuetega
- avastus
- eristatav
- levitada
- levitamine
- allalaadimine
- dubleeritud
- ajal
- dünaamiliselt
- iga
- lihtsam
- kõrvaldama
- võimaldades
- kaasamine
- suurendamine
- Euroopa
- Euroopa
- Euroopa riigid
- täitma
- hukkamine
- Exploited
- kangas
- kaugele
- tunnusjoon
- FUNKTSIOONID
- fail
- Faile
- Lõpuks
- leiab
- esimene
- viis
- eest
- neli
- Prantsusmaa
- pettus
- pettuste avastamine
- tasuta
- sageli
- Alates
- funktsionaalsus
- raha
- Saksamaa
- saama
- Google Play
- valvur
- Pool
- raskem
- kahjulik
- Olema
- Suur
- aga
- HTML
- HTTPS
- if
- rakendatud
- in
- lisatud
- kasvav
- nakkused
- info
- info
- esialgne
- esialgu
- paigaldamine
- paigaldatud
- paigaldamine
- suhelda
- suhtlemist
- sisse
- sisse
- IT
- Itaalia
- ITS
- ise
- jpg
- Kuningriik
- maa
- pärast
- hiljemalt
- kõige vähem
- õigustatud
- nagu
- logi
- Langetamine
- tehtud
- tegema
- pahatahtlik
- malware
- juhitud
- mehhanismid
- mobiilne
- mobiilirakenduse
- mobiil-rakendusi
- järelevalve
- kuu
- kõige
- palju
- mitmekordne
- Vajadus
- vajadustele
- Uus
- ei
- märkida
- mitte midagi
- November
- arvukad
- of
- ametlik
- sageli
- on
- kunagi
- ONE
- jätkuv
- ainult
- peale
- operaator
- ettevõtjad
- or
- Muu
- üle
- pakend
- Õigused
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängima
- Mängi Store
- potentsiaal
- potentsiaalselt
- eelmine
- varem
- protsess
- Protsessid
- viljakas
- määr
- Rates
- jõudma
- lugeja
- reaalajas
- põhjus
- saadud
- hiljuti
- piirkondades
- suhteliselt
- vabastama
- kauge
- aru
- Vabariik
- nõudma
- piiratud
- piirangud
- s
- Ütlesin
- skaneerib
- turvalisus
- server
- teenus
- seaded
- mitu
- märkimisväärne
- Märgid
- alates
- Sloveenia
- hiilima
- So
- eriline
- erivajadused
- Sponsorite
- salvestada
- kauplustes
- edukas
- selline
- soovitama
- kahtlane
- süsteem
- Võtma
- suunatud
- sihtimine
- eesmärgid
- et
- .
- oma
- Neile
- SIIS
- Seal.
- Need
- nad
- see
- sel nädalal
- need
- oht
- ohus osalejad
- korda
- et
- ülemine
- Summa
- Trojan
- püüdma
- tüüp
- kujunevast
- Ühendatud
- Ühendkuningriik
- Värskendused
- laetud
- URL
- us
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- müüja
- kaudu
- ohvreid
- Vaatajad
- Wave
- lained
- nädal
- M
- millal
- mis
- kuigi
- koos
- aastat
- sephyrnet