Un acteur malveillant utilise des droppers de logiciels malveillants déguisés en applications mobiles légitimes sur le Play Store de Google pour distribuer un dangereux cheval de Troie bancaire baptisé « Anatsa » aux utilisateurs d'Android dans plusieurs pays européens.
La campagne dure depuis au moins quatre mois et constitue la dernière salve des opérateurs du malware, qui a fait surface pour la première fois en 2020 et a déjà fait des victimes aux États-Unis, en Italie, au Royaume-Uni, en France, en Allemagne et dans d'autres pays.
Taux d’infections prolifique
Les chercheurs de ThreatFabric surveillent Anatsa depuis sa découverte initiale et ont repéré la nouvelle vague d’attaques qui a débuté en novembre 2023. Dans un reportage cette semaine, le fournisseur de détection de fraude a décrit les attaques comme se déroulant en plusieurs vagues distinctes ciblant les clients des banques en Slovaquie, en Slovénie et en République tchèque.
Jusqu'à présent, les utilisateurs d'Android dans les régions ciblées ont téléchargé des compte-gouttes pour les logiciels malveillants depuis le Play Store de Google au moins 100,000 2023 fois depuis novembre. Lors d'une campagne précédente menée au cours du premier semestre 130,000 et suivie par ThreatFabric, les auteurs de la menace ont accumulé plus de XNUMX XNUMX installations de ses compte-gouttes armés pour Anatsa à partir de la boutique d'applications mobiles de Google.
ThreatFabric a attribué les taux d'infection relativement élevés à l'approche en plusieurs étapes utilisée par les compte-gouttes de Google Play pour diffuser Anatsa sur les appareils Android. Lorsque les compte-gouttes sont initialement téléchargés sur Play, rien ne suggère un comportement malveillant. Ce n'est qu'après avoir atterri sur Play que les droppers récupèrent dynamiquement le code permettant d'exécuter des actions malveillantes à partir d'un serveur de commande et de contrôle (C2) distant.
L'un des droppers, déguisé en application plus propre, a affirmé avoir besoin d'autorisations pour accéder à la fonctionnalité du service d'accessibilité d'Android pour ce qui semblait être une raison légitime. Le service d'accessibilité d'Android est un type spécial de fonctionnalité conçu pour permettre aux utilisateurs handicapés et ayant des besoins particuliers d'interagir plus facilement avec les applications Android. Les acteurs malveillants ont fréquemment exploité cette fonctionnalité pour automatiser l’installation des charges utiles sur les appareils Android et éliminer le besoin d’interaction de l’utilisateur pendant le processus.
Approche en plusieurs étapes
"Au départ, l'application [cleaner] semblait inoffensive, sans code malveillant et son AccessibilityService ne se livrait à aucune activité nuisible", a déclaré ThreatFabric. « Cependant, une semaine après sa sortie, une mise à jour a introduit un code malveillant. Cette mise à jour a modifié la fonctionnalité AccessibilityService, lui permettant d'exécuter des actions malveillantes telles que cliquer automatiquement sur des boutons une fois qu'il a reçu une configuration du serveur C2 », a noté le fournisseur.
Les fichiers que le dropper a récupérés dynamiquement du serveur C2 comprenaient des informations de configuration pour un fichier DEX malveillant destiné à distribuer le code d'application Android ; un fichier DEX lui-même avec un code malveillant pour l'installation de la charge utile, la configuration avec une URL de charge utile et enfin le code pour télécharger et installer Anatsa sur l'appareil.
L'approche en plusieurs étapes et chargée dynamiquement utilisée par les acteurs de la menace a permis à chacun des droppers qu'ils ont utilisés dans la dernière campagne de contourner les restrictions plus strictes d'AccessibilityService mises en œuvre par Google dans Android 13, a déclaré Threat Fabric.
Pour la dernière campagne, l'opérateur d'Anatsa a choisi d'utiliser un total de cinq compte-gouttes déguisés en applications gratuites de nettoyage d'appareils, de visionneuses de PDF et d'applications de lecture de PDF sur Google Play. "Ces applications atteignent souvent le Top 3 dans la catégorie 'Top New Free', renforçant leur crédibilité et baissant la garde des victimes potentielles tout en augmentant les chances de réussite de l'infiltration", a déclaré ThreatFabric dans son rapport. Une fois installé sur un système, Anasta peut voler des informations d'identification et d'autres informations permettant à l'acteur malveillant de prendre le contrôle de l'appareil, puis de se connecter au compte bancaire de l'utilisateur et d'y voler des fonds.
Comme Apple, Google a mis en place de nombreux mécanismes de sécurité ces dernières années pour rendre plus difficile pour les auteurs de menaces de se faufiler dans des applications malveillantes sur les appareils Android via sa boutique d'applications mobiles officielle. L'un des plus importants d'entre eux est Google Play Protect, une fonctionnalité Android intégrée qui analyse les installations d'applications en temps réel à la recherche de signes de comportement potentiellement malveillant ou nuisible, puis alerte ou désactive l'application si elle trouve quelque chose de suspect. La fonctionnalité de paramètres restreints d'Android a également rendu beaucoup plus difficile pour les acteurs malveillants de tenter d'infecter des appareils Android via des applications téléchargées ou des applications provenant de magasins d'applications non officiels.
Malgré cela, les auteurs de la menace ont réussi à continuer à introduire des logiciels malveillants sur les appareils Android via Play en abusant de fonctionnalités telles que AccessibilityService d'Android, ou en utilisant des processus d'infection en plusieurs étapes et en utilisant des installateurs de packages qui imitent ceux du Play Store pour charger des applications malveillantes, a déclaré ThreatFabric.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :possède
- :est
- :ne pas
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- A Propos
- accessibilité
- Compte
- Accumulé
- actes
- d'activités
- acteurs
- Après
- Alertes
- permettre
- permis
- aussi
- modifié
- parmi
- an
- ainsi que
- android
- Android 13
- tous
- quoi que ce soit d'artificiel
- appli
- app store
- paru
- Apple
- Application
- applications
- une approche
- applications
- AS
- At
- Attaques
- automatiser
- automatiquement
- Banque
- compte bancaire
- Services bancaires
- Banks
- BE
- était
- Début
- humain
- intégré
- by
- Campagne
- CAN
- Catégories
- chances
- choisir
- circonvenir
- revendiqué
- plus propre
- code
- configuration
- continuer
- des bactéries
- d'exportation
- Lettres de créance
- Crédibilité
- Clients
- République Tchèque
- dangereux
- livrer
- décrit
- un
- Détection
- dispositif
- Compatibles
- Dex
- handicapées
- découverte
- distinct
- distribuer
- distribuer
- téléchargement
- doublé
- pendant
- dynamiquement
- chacun
- plus facilement
- éliminé
- permettant
- engageant
- améliorer
- Europe
- du
- Les pays européens
- exécuter
- exécution
- Exploités
- .
- loin
- Fonctionnalité
- Fonctionnalités:
- Déposez votre dernière attestation
- Fichiers
- finalement
- trouve
- Prénom
- cinq
- Pour
- quatre
- France
- fraude
- détection de fraude
- gratuitement ici
- fréquemment
- De
- fonds
- Allemagne
- obtenez
- Google Play
- Garde
- Half
- Plus fort
- nuisible
- Vous avez
- Haute
- Cependant
- HTML
- HTTPS
- if
- mis en œuvre
- in
- inclus
- croissant
- infections
- info
- d'information
- initiale
- possible
- installation
- Installé
- installer
- interagir
- l'interaction
- développement
- introduit
- IT
- Italie
- SES
- lui-même
- jpg
- Royaume
- Transport routier
- plus tard
- Nouveautés
- au
- légitime
- comme
- enregistrer
- Réduction du coût
- LES PLANTES
- a prendre une
- malveillant
- malware
- gérés
- mécanismes
- Breeze Mobile
- Application Mobile
- application mobile
- Stack monitoring
- mois
- (en fait, presque toutes)
- beaucoup
- plusieurs
- Besoin
- Besoins
- Nouveauté
- aucune
- noté
- rien
- Novembre
- nombreux
- of
- officiel
- souvent
- on
- une fois
- ONE
- en cours
- uniquement
- sur
- opérateur
- opérateurs
- or
- Autre
- plus de
- paquet
- autorisations
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- Play Store
- défaillances
- l'éventualité
- précédent
- précédemment
- processus
- les process
- prolifique
- Tarif
- Tarifs
- nous joindre
- Reader
- en temps réel
- raison
- reçu
- récent
- régions
- relativement
- libérer
- éloigné
- rapport
- Centrafricaine
- exigent
- limité
- restrictions
- s
- Saïd
- analyse
- sécurité
- serveur
- service
- Paramétres
- plusieurs
- significative
- Signes
- depuis
- Slovénie
- se glisser
- So
- spécial
- besoins spécifiques
- Sponsorisé
- Boutique
- STORES
- réussi
- tel
- suggérer
- soupçonneux
- combustion propre
- Prenez
- des campagnes marketing ciblées,
- ciblage
- objectifs
- qui
- La
- leur
- Les
- puis
- Là.
- Ces
- l'ont
- this
- cette semaine
- ceux
- menace
- acteurs de la menace
- fois
- à
- top
- Total
- Trojan
- Essai
- type
- déploiement
- Uni
- Royaume Uni
- Mises à jour
- téléchargé
- URL
- us
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- en utilisant
- vendeur
- via
- victimes
- téléspectateurs
- Vague
- vagues
- semaine
- Quoi
- quand
- qui
- tout en
- comprenant
- années
- zéphyrnet