Uhkatoimija käyttää laillisiksi mobiilisovelluksiksi naamioituja haittaohjelmia Google Play -kaupassa jakaakseen vaarallista pankkitroijalaista nimeltä "Anatsa" Android-käyttäjille useissa Euroopan maissa.
Kampanja on jatkunut ainakin neljä kuukautta, ja se on viimeisin pelastus haittaohjelman operaattorilta, joka ilmestyi ensimmäisen kerran vuonna 2020 ja on aiemmin huomannut uhreja Yhdysvalloissa, Italiassa, Isossa-Britanniassa, Ranskassa, Saksassa ja muissa maissa.
Tuottelias infektioiden määrä
ThreatFabricin tutkijat ovat seuranneet Anatsaa sen alkuperäisestä löydöstä lähtien ja havainneet uuden hyökkäysaallon marraskuusta 2023 alkaen. Tämän viikon raportissa petosten havaitsemisen toimittaja kuvaili hyökkäykset useissa eri aalloissa, jotka kohdistuivat Slovakian, Slovenian ja Tšekin tasavallan pankkien asiakkaisiin.
Toistaiseksi Android-käyttäjät kohdealueilla ovat ladanneet haittaohjelmille droppereita Google Play -kaupasta vähintään 100,000 2023 kertaa marraskuun jälkeen. Edellisessä kampanjassa vuoden 130,000 ensimmäisen puoliskon aikana, jota ThreatFabric seurasi, uhkatoimijat keräsivät yli XNUMX XNUMX asennusta sen aseistettuja tiputtimia Anatsalle Googlen mobiilisovelluskaupasta.
ThreatFabric katsoi, että suhteellisen korkeat tartuntaluvut johtuvat monivaiheisesta lähestymistavasta, jota Google Playn dropperit käyttävät Anatsa-annoissa Android-laitteille. Kun dropperit ladataan alun perin Playhin, niissä ei ole mitään, mikä viittaa haitalliseen toimintaan. Vasta Play-palveluun päätyään dropperit hakevat dynaamisesti koodia haitallisten toimien suorittamiseksi etäkomento- ja ohjauspalvelimelta (C2).
Yksi puhtaammaksi sovellukseksi naamioituneista tiputtimista väitti vaativansa Androidin Accessibility Service -ominaisuuden käyttöoikeudet oikeutetulta syystä. Androidin esteettömyyspalvelu on erityinen ominaisuus, joka on suunniteltu helpottamaan vammaisten ja erityistarpeita omaavien käyttäjien vuorovaikutusta Android-sovellusten kanssa. Uhkatoimijat ovat usein hyödyntäneet ominaisuutta automatisoidakseen hyötykuorman asennuksen Android-laitteille ja eliminoidakseen käyttäjän vuorovaikutuksen tarpeen prosessin aikana.
Monivaiheinen lähestymistapa
"[Cleaner]-sovellus vaikutti aluksi vaarattomalta, siinä ei ollut haitallista koodia ja sen AccessibilityService ei osallistunut haitallisiin toimiin", ThreatFabric sanoi. "Viikko julkaisunsa jälkeen päivitys toi kuitenkin käyttöön haitallisen koodin. Tämä päivitys muutti AccessibilityService-toiminnallisuutta, jolloin se pystyi suorittamaan haitallisia toimia, kuten napsauttamaan automaattisesti painikkeita, kun se on saanut konfiguraation C2-palvelimelta", toimittaja huomautti.
Tiedostot, jotka dropper haki dynaamisesti C2-palvelimelta, sisälsivät määritystiedot haitallisesta DEX-tiedostosta Android-sovelluskoodin jakamiseen. itse DEX-tiedosto, jossa on haitallinen koodi hyötykuorman asennusta varten, konfigurointi hyötykuorman URL-osoitteella ja lopuksi koodi Anatsan lataamiseksi ja asentamiseksi laitteeseen.
Uhkatoimijoiden käyttämä monivaiheinen, dynaamisesti ladattu lähestymistapa mahdollisti jokaisen viimeisimmässä kampanjassa käyttämänsä dropperin kiertämisen tiukemmat AccessibilityService-rajoitukset, jotka Google otti käyttöön Android 13:ssa, Threat Fabric sanoi.
Anatsan operaattori valitsi tuoreimpaan kampanjaan Google Playssa yhteensä viisi tippaa, jotka on naamioitu ilmaisiksi laitteenpuhdistussovelluksiksi, PDF-katseluohjelmiksi ja PDF-lukijasovelluksiksi. "Nämä sovellukset saavuttavat usein Top-3 "Top New Free" -kategoriassa, mikä lisää niiden uskottavuutta ja alentaa mahdollisten uhrien suojelua ja lisää samalla onnistuneen soluttautumisen mahdollisuuksia", ThreatFabric sanoi raportissaan. Kun Anasta on asennettu järjestelmään, se voi varastaa tunnistetietoja ja muita tietoja, joiden avulla uhkatekijä voi ottaa laitteen haltuunsa ja kirjautua myöhemmin käyttäjän pankkitilille ja varastaa varoja siltä.
Applen tavoin Google on ottanut käyttöön lukuisia suojamekanismeja viime vuosina vaikeuttaa uhkaavien toimijoiden hiipiä haitallisia sovelluksia Android-laitteisiin virallisen mobiilisovelluskaupan kautta. Yksi merkittävimmistä niistä on Google Play Suoja, sisäänrakennettu Android-ominaisuus, joka tarkistaa sovellusasennuksista reaaliajassa merkkejä mahdollisesti haitallisesta tai haitallisesta toiminnasta ja varoittaa tai poistaa sovelluksen käytöstä, jos se löytää jotain epäilyttävää. Androidin rajoitettu asetusominaisuus on myös vaikeuttanut uhkatekijöiden yrittämistä tartuttaa Android-laitteita sivuladattujen sovellusten tai epävirallisten sovelluskauppojen sovellusten kautta.
Siitä huolimatta uhkatekijät ovat onnistuneet jatkamaan hiipiä haittaohjelmia Android-laitteisiin Playn kautta väärinkäyttäen ominaisuuksia, kuten Androidin AccessibilityServicea, tai käyttämällä monivaiheisia tartuntaprosesseja ja käyttämällä Play-kaupan asennusohjelmia jäljitteleviä pakettien asentajia haitallisten sovellusten sivulataamiseen, ThreatFabric sanoi.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :on
- :On
- :ei
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Meistä
- saavutettavuus
- Tili
- kertyneet
- toimet
- toiminta
- toimijoiden
- Jälkeen
- Hälytykset
- sallia
- sallittu
- Myös
- muuttunut
- keskuudessa
- an
- ja
- android
- Android 13
- Kaikki
- mitään
- sovelluksen
- App Store
- ilmestyi
- omena
- Hakemus
- sovellukset
- lähestymistapa
- sovellukset
- AS
- At
- Hyökkäykset
- automatisoida
- automaattisesti
- Pankki
- pankkitili
- Pankkitoiminta
- Pankit
- BE
- ollut
- Alku
- käyttäytyminen
- sisäänrakennettu
- by
- Kampanja
- CAN
- Kategoria
- mahdollisuudet
- valitsi
- kiertää
- väitti
- siivooja
- koodi
- Konfigurointi
- jatkaa
- ohjaus
- maahan
- Valtakirja
- Uskottavuus
- Asiakkaat
- Tšekin tasavalta
- Vaarallinen
- toimittaa
- on kuvattu
- suunniteltu
- Detection
- laite
- Laitteet
- Dex
- vammaiset
- löytö
- selvä
- jakaa
- jako-
- lataaminen
- dubattuna
- aikana
- dynaamisesti
- kukin
- helpompaa
- poistaa
- mahdollistaa
- harjoittaa
- parantaa
- Eurooppa
- Eurooppalainen
- Eurooppalaiset maat
- suorittaa
- täytäntöönpanosta
- hyödynnetään
- kangas
- paljon
- Ominaisuus
- Ominaisuudet
- filee
- Asiakirjat
- Vihdoin
- löydöt
- Etunimi
- viisi
- varten
- neljä
- Ranska
- petos
- petosten havaitseminen
- Ilmainen
- usein
- alkaen
- toiminnallisuus
- varat
- Saksa
- saada
- Google Play
- Vartija
- Puoli
- kovemmin
- haitallinen
- Olla
- Korkea
- Kuitenkin
- HTML
- HTTPS
- if
- täytäntöön
- in
- mukana
- lisää
- infektiot
- tiedot
- tiedot
- ensimmäinen
- ensin
- asennus
- asennetaan
- asentaminen
- olla vuorovaikutuksessa
- vuorovaikutus
- tulee
- käyttöön
- IT
- Italia
- SEN
- itse
- jpg
- Valtakunta
- Maa
- myöhemmin
- uusin
- vähiten
- laillinen
- pitää
- log
- Alentaminen
- tehty
- tehdä
- ilkeä
- haittaohjelmat
- onnistui
- mekanismit
- Puhelinnumero
- Mobiilisovellus
- mobiili-sovellukset
- seuranta
- kk
- eniten
- paljon
- moninkertainen
- Tarve
- tarpeet
- Uusi
- Nro
- huomattava
- ei mitään
- marraskuu
- useat
- of
- virallinen
- usein
- on
- kerran
- ONE
- jatkuva
- vain
- päälle
- operaattori
- operaattorit
- or
- Muut
- yli
- paketti
- Oikeudet
- Platon
- Platonin tietotieto
- PlatonData
- Pelaa
- Pelaa Store
- mahdollinen
- mahdollisesti
- edellinen
- aiemmin
- prosessi
- Prosessit
- hedelmällinen
- hinta
- Hinnat
- tavoittaa
- lukija
- reaaliaikainen
- reason
- sai
- äskettäinen
- alueet
- suhteellisesti
- vapauta
- kaukosäädin
- raportti
- Tasavalta
- edellyttää
- rajoitettu
- rajoitukset
- s
- Said
- skannaa
- turvallisuus
- palvelin
- palvelu
- settings
- useat
- merkittävä
- Signs
- koska
- Slovenia
- hiipiä
- So
- erityinen
- erityistarpeita
- Sponsored
- verkkokaupasta
- varastot
- onnistunut
- niin
- ehdottaa
- epäilyttävä
- järjestelmä
- ottaa
- kohdennettu
- kohdistaminen
- tavoitteet
- että
- -
- heidän
- Niitä
- sitten
- Siellä.
- Nämä
- ne
- tätä
- tällä viikolla
- ne
- uhkaus
- uhka toimijat
- kertaa
- että
- ylin
- Yhteensä
- Troijalainen
- yrittää
- tyyppi
- kehittymässä
- Yhtenäinen
- Yhdistynyt kuningaskunta
- Päivitykset
- ladattu
- URL
- us
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- myyjä
- kautta
- uhrit
- katsojat
- Aalto
- aallot
- viikko
- Mitä
- kun
- joka
- vaikka
- with
- vuotta
- zephyrnet