یک عامل تهدید از قطرهکنهای بدافزاری استفاده میکند که بهعنوان برنامههای تلفن همراه قانونی در فروشگاه Play Google پنهان شدهاند تا یک تروجان بانکی خطرناک با نام «آناتسا» را بین کاربران اندروید در چندین کشور اروپایی توزیع کند.
این کمپین حداقل چهار ماه است که ادامه دارد و جدیدترین مزاحمت از اپراتورهای بدافزار است که برای اولین بار در سال 2020 ظاهر شد و قبلاً قربانیانی را در ایالات متحده، ایتالیا، بریتانیا، فرانسه، آلمان و سایر کشورها شناسایی کرده بود.
نرخ پربار عفونت
محققان ThreatFabric از زمان کشف اولیه آناتسا را زیر نظر داشتند و موج جدیدی از حملات را که در نوامبر 2023 آغاز شد، مشاهده کردند. در گزارشی در این هفته، فروشنده کشف کلاهبرداری این حملات را در امواج متعددی که مشتریان بانکهای اسلواکی، اسلوونی و جمهوری چک را هدف قرار میدهند، توصیف کرد.
تا کنون، کاربران اندروید در مناطق مورد نظر حداقل 100,000 بار از ماه نوامبر، droppers برای بدافزار را از فروشگاه Play گوگل دانلود کرده اند. در کمپین قبلی در نیمه اول سال 2023 که ThreatFabric آن را ردیابی کرد، عوامل تهدید بیش از 130,000 نصب از قطره چکان های تسلیحاتی خود را برای Anatsa از فروشگاه اپلیکیشن موبایل گوگل جمع آوری کردند.
ThreatFabric نرخ آلودگی نسبتاً بالا را به رویکرد چند مرحله ای نسبت داد که قطره چکان در Google Play برای ارائه Anatsa در دستگاه های اندرویدی استفاده می کند. هنگامی که قطره چکان در ابتدا در Play آپلود می شود، چیزی در مورد آنها وجود ندارد که نشان دهنده رفتار مخرب باشد. تنها پس از فرود در Play است که قطره چکان به صورت پویا کدی را برای اجرای اقدامات مخرب از یک سرور فرمان و کنترل از راه دور (C2) بازیابی می کند.
یکی از قطره چکان ها که به عنوان یک برنامه تمیزتر پنهان شده بود، ادعا کرد که به دلیل موجهی ظاهراً به مجوزهای ویژگی سرویس دسترسی اندروید نیاز دارد. سرویس دسترسپذیری اندروید نوع خاصی از ویژگی است که به منظور تسهیل تعامل کاربران دارای معلولیت و نیازهای خاص با برنامههای اندروید طراحی شده است. عوامل تهدید مکرراً از این ویژگی برای خودکارسازی نصب محموله در دستگاههای اندرویدی و رفع نیاز به هرگونه تعامل کاربر در طول فرآیند استفاده میکنند.
رویکرد چند مرحله ای
ThreatFabric گفت: «در ابتدا برنامه [پاک کننده] بی ضرر به نظر می رسید، بدون کد مخرب و AccessibilityService آن در هیچ فعالیت مضری شرکت نمی کرد. با این حال، یک هفته پس از انتشار، یک به روز رسانی کد مخرب را معرفی کرد. این به روز رسانی عملکرد AccessibilityService را تغییر داد و به آن امکان داد تا اقدامات مخربی مانند کلیک کردن خودکار دکمه ها را پس از دریافت پیکربندی از سرور C2 انجام دهد.
فایل هایی که قطره چکان به صورت پویا از سرور C2 بازیابی می کند شامل اطلاعات پیکربندی یک فایل DEX مخرب برای توزیع کد برنامه اندروید است. خود یک فایل DEX با کد مخرب برای نصب payload، پیکربندی با URL payload و در نهایت کد برای دانلود و نصب Anatsa بر روی دستگاه.
Threat Fabric گفت، رویکرد چند مرحلهای و بارگذاری پویا که توسط عوامل تهدید مورد استفاده قرار میگیرد به هر یک از قطرهکنهایی که در آخرین کمپین استفاده کردهاند اجازه میدهد تا محدودیتهای سختتر AccessibilityService را که Google در Android 13 اجرا کرده بود، دور بزنند.
برای آخرین کمپین، اپراتور Anatsa در مجموع از پنج قطره چکان مبدل به عنوان برنامههای تمیزکننده رایگان دستگاه، نمایشگرهای PDF و برنامههای پیدیافخوان در Google Play استفاده کرد. ThreatFabric در گزارش خود میگوید: «این برنامهها اغلب به رتبههای ۳ برتر در رده «بالاترین رایگان» میرسند و اعتبار آنها را افزایش میدهند و محافظ قربانیان احتمالی را پایین میآورند و در عین حال شانس نفوذ موفق را افزایش میدهند. پس از نصب بر روی یک سیستم، آناستا می تواند اعتبارنامه ها و سایر اطلاعاتی را که به عامل تهدید اجازه می دهد دستگاه را تصاحب کند و بعداً وارد حساب بانکی کاربر شده و وجوهی را از آن سرقت کند، سرقت کند.
گوگل نیز مانند اپل در سالهای اخیر مکانیسمهای امنیتی متعددی را اجرا کرده است کار را برای عوامل تهدید برای پنهان کردن برنامه های مخرب سخت تر می کند به دستگاه های اندرویدی از طریق فروشگاه رسمی برنامه تلفن همراه آن. یکی از مهمترین آنها در این میان است حفاظت از Google Playیک ویژگی اندروید داخلی است که نصبهای برنامهها را در زمان واقعی برای نشانههایی از رفتار مخرب یا مضر اسکن میکند، سپس در صورت یافتن موارد مشکوک به برنامه هشدار یا غیرفعال میکند. ویژگی تنظیمات محدود اندروید همچنین تلاش عوامل تهدید کننده و آلوده کردن دستگاههای اندرویدی را از طریق برنامههای جانبی - یا برنامههای فروشگاههای برنامههای غیررسمی، بسیار سختتر کرده است.
با این حال، بازیگران تهدید توانسته اند به این کار ادامه دهند بدافزار را به دستگاه های اندرویدی مخفی کنید ThreatFabric گفت: از طریق Play با سوء استفاده از ویژگیهایی مانند AccessibilityService Android یا با استفاده از فرآیندهای عفونت چند مرحلهای و با استفاده از نصبکنندههای بسته که از نصبکنندههای موجود در Play store تقلید میکنند تا برنامههای مخرب جانبی بارگذاری شوند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- : دارد
- :است
- :نه
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- درباره ما
- دسترسی
- حساب
- جمع آوری شده
- اقدامات
- فعالیت ها
- بازیگران
- پس از
- تصویر، موسیقی
- اجازه دادن
- مجاز
- همچنین
- تغییر
- در میان
- an
- و
- اندروید
- 13 آندروید
- هر
- هر چیزی
- نرم افزار
- فروشگاه نرم افزار
- به نظر می رسد
- اپل
- کاربرد
- برنامه های کاربردی
- روش
- برنامه های
- AS
- At
- حمله
- خودکار بودن
- بطور خودکار
- بانک
- حساب بانکی
- بانکداری
- بانک
- BE
- بوده
- شروع
- رفتار
- ساخته شده در
- by
- کمپین بین المللی حقوق بشر
- CAN
- دسته بندی
- شانس
- را انتخاب
- دور زدن
- ادعا کرد که
- پاک کننده
- رمز
- پیکر بندی
- ادامه دادن
- کنترل
- کشور
- مجوزها و اعتبارات
- اعتبار
- مشتریان
- جمهوری چک
- خطرناک
- ارائه
- شرح داده شده
- طراحی
- کشف
- دستگاه
- دستگاه ها
- دگزامتازون
- معلولیت
- کشف
- متمایز
- توزیع کردن
- توزیع
- دانلود
- دوبله شده
- در طی
- بطور پویا
- هر
- آسان تر
- از بین بردن
- را قادر می سازد
- جذاب
- افزایش
- اروپا
- اروپایی
- کشورهای اروپایی
- اجرا کردن
- اجرا کردن
- سوء استفاده قرار گیرد
- پارچه
- بسیار
- ویژگی
- امکانات
- پرونده
- فایل ها
- سرانجام
- پیدا می کند
- نام خانوادگی
- پنج
- برای
- چهار
- فرانسه
- تقلب
- کشف تقلب
- رایگان
- غالبا
- از جانب
- قابلیت
- بودجه
- آلمان
- دریافت کنید
- گوگل
- گوگل بازی
- گارد
- نیم
- سخت تر
- مضر
- آیا
- زیاد
- اما
- HTML
- HTTPS
- if
- اجرا
- in
- مشمول
- افزایش
- عفونت
- اطلاعات
- اطلاعات
- اول
- در ابتدا
- نصب و راه اندازی
- نصب شده
- نصب کردن
- تعامل
- اثر متقابل
- به
- معرفی
- IT
- ایتالیا
- ITS
- خود
- JPG
- پادشاهی
- زمین
- بعد
- آخرین
- کمترین
- قانونی
- پسندیدن
- ورود به سیستم
- پایین آوردن
- ساخته
- ساخت
- مخرب
- نرم افزارهای مخرب
- اداره می شود
- مکانیسم
- موبایل
- برنامه موبایل
- تلفن همراه برنامه های
- نظارت بر
- ماه
- اکثر
- بسیار
- چندگانه
- نیاز
- نیازهای
- جدید
- نه
- اشاره کرد
- هیچ چی
- نوامبر
- متعدد
- of
- رسمی
- غالبا
- on
- یک بار
- ONE
- مداوم
- فقط
- به سوی
- اپراتور
- اپراتور
- or
- دیگر
- روی
- بسته
- مجوز
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- بازی فروشگاه
- پتانسیل
- بالقوه
- قبلی
- قبلا
- روند
- فرآیندهای
- پربار
- نرخ
- نرخ
- رسیدن به
- خواننده
- زمان واقعی
- دلیل
- اخذ شده
- اخیر
- مناطق
- نسبتا
- آزاد
- دور
- گزارش
- جمهوری
- نیاز
- منحصر
- محدودیت های
- s
- سعید
- اسکن
- تیم امنیت لاتاری
- سرور
- سرویس
- تنظیمات
- چند
- قابل توجه
- نشانه ها
- پس از
- اسلوونی
- دزدکی حرکت کردن
- So
- ویژه
- نیازهای خاص
- حمایت مالی
- opbevare
- پرده
- موفق
- چنین
- نشان می دهد
- مشکوک
- سیستم
- گرفتن
- هدف قرار
- هدف گذاری
- اهداف
- که
- La
- شان
- آنها
- سپس
- آنجا.
- اینها
- آنها
- این
- این هفته
- کسانی که
- تهدید
- بازیگران تهدید
- بار
- به
- بالا
- جمع
- تروجان
- امتحان
- نوع
- آشکار شدن
- متحد
- انگلستان
- بروزرسانی
- آپلود شده
- URL
- us
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- فروشنده
- از طريق
- قربانیان
- بینندگان
- موج
- امواج
- هفته
- چی
- چه زمانی
- که
- در حین
- با
- سال
- زفیرنت