Egy fenyegetés szereplője legitim mobilalkalmazásnak álcázott rosszindulatú programokat használ a Google Play Áruházban, hogy egy „Anatsa” névre keresztelt veszélyes banki trójai programot terjesztsen az Android-felhasználóknak több európai országban.
A kampány már legalább négy hónapja tart, és ez a kártevő üzemeltetőinek legújabb akciója, amely először 2020-ban jelent meg, és korábban az Egyesült Államokban, Olaszországban, az Egyesült Királyságban, Franciaországban, Németországban és más országokban is áldozatokat hozott.
A fertőzések szapora aránya
A ThreatFabric kutatói a kezdeti felfedezés óta figyelték az Anatsa-t, és észlelték a 2023 novemberétől kezdődő új támadási hullámot. Egy e heti jelentésben A csalásfelderítő szolgáltató a támadásokat több különböző hullámban bontakozott ki, amelyek a szlovák, szlovén és cseh bankok ügyfeleit célozták meg.
A megcélzott régiókban élő Android-felhasználók eddig november óta legalább 100,000 2023 alkalommal töltöttek le droppert a Google Play Áruházból. A ThreatFabric által nyomon követett, 130,000 első felében lezajlott korábbi kampányban a fenyegetés szereplői több mint XNUMX XNUMX fegyveres cseppentőt gyűjtöttek össze az Anatsa számára a Google mobilalkalmazás-áruházából.
A ThreatFabric a viszonylag magas fertőzési rátát annak a többlépcsős megközelítésnek tulajdonította, amelyet a Google Playen található cseppentői alkalmaznak az Anatsa Android-eszközökön történő szállítására. Amikor a droppereket először feltöltik a Playre, semmi sem utal rosszindulatú viselkedésre. Csak miután a Playen landolnak, a dropperek dinamikusan lekérik a rosszindulatú műveletek végrehajtására szolgáló kódot egy távoli parancs- és vezérlőkiszolgálóról (C2).
Az egyik, tisztább alkalmazásnak álcázott cseppentő azt állította, hogy jogos ok miatt engedélyekre van szüksége az Android Accessibility Service funkciójához. Az Android Kisegítő lehetőségek szolgáltatása egy speciális típusú funkció, amelyet arra terveztek, hogy megkönnyítse a fogyatékkal élő és speciális igényű felhasználók számára az Android-alkalmazásokkal való interakciót. A fenyegetés szereplői gyakran kihasználták a funkciót, hogy automatizálják a rakomány telepítését Android-eszközökön, és kiküszöböljék a felhasználói beavatkozás szükségességét a folyamat során.
Többlépcsős megközelítés
"Kezdetben a [cleaner] alkalmazás ártalmatlannak tűnt, nem tartalmazott rosszindulatú kódot, és az AccessibilityService nem vett részt semmilyen káros tevékenységben" - mondta ThreatFabric. „A megjelenése után egy héttel azonban egy frissítés rosszindulatú kódot vezetett be. Ez a frissítés megváltoztatta az AccessibilityService funkcionalitását, lehetővé téve rosszindulatú műveletek végrehajtását, például a gombokra való automatikus kattintást, miután megkapta a konfigurációt a C2 szervertől” – jegyezte meg a gyártó.
Azok a fájlok, amelyeket a dropper dinamikusan lekért a C2-szerverről, konfigurációs információkat tartalmazott egy rosszindulatú DEX-fájlhoz az Android-alkalmazáskód terjesztéséhez; maga a DEX fájl rosszindulatú kóddal a rakomány telepítéséhez, konfigurálás a hasznos adatok URL-jével, és végül az Anatsa letöltéséhez és az eszközre történő telepítéséhez szükséges kód.
A fenyegetés szereplői által használt többlépcsős, dinamikusan betöltött megközelítés lehetővé tette a legutóbbi kampányban használt valamennyi droppernek, hogy megkerüljék a Google által az Android 13-ban bevezetett szigorúbb AccessibilityService korlátozásokat, mondta a Threat Fabric.
A legutóbbi kampányhoz az Anatsa üzemeltetője összesen öt, ingyenes eszköztisztító alkalmazásnak, PDF-nézegetőnek és PDF-olvasó alkalmazásnak álcázott cseppentőt választott a Google Playen. "Ezek az alkalmazások gyakran eljutnak a Top 3 közé a "Legjobb új ingyenes" kategóriában, növelve hitelességüket és csökkentve a potenciális áldozatok őrségét, miközben növelik a sikeres beszivárgás esélyét" - mondta jelentésében a ThreatFabric. Miután telepítették a rendszerre, az Anasta ellophatja a hitelesítő adatokat és egyéb információkat, amelyek lehetővé teszik a fenyegetés szereplőjének, hogy átvegye az eszközt, majd később bejelentkezzen a felhasználó bankszámlájára, és pénzt lopjon el onnan.
Az Apple-hez hasonlóan a Google is számos biztonsági mechanizmust vezetett be az elmúlt években megnehezítik a fenyegetés szereplői számára a rosszindulatú alkalmazások besurranását Android-eszközökre a hivatalos mobilalkalmazás-áruházon keresztül. Közülük az egyik legjelentősebb Google Play Protect, egy beépített Android-funkció, amely valós időben ellenőrzi az alkalmazástelepítéseket potenciálisan rosszindulatú vagy káros viselkedésre utaló jelek után kutatva, majd figyelmezteti vagy letiltja az alkalmazást, ha bármi gyanúsat talál. Az Android korlátozott beállítási funkciója azt is megnehezítette, hogy a fenyegetés szereplői megpróbálják megfertőzni az Android-eszközöket oldalról letöltött alkalmazásokon keresztül – vagy nem hivatalos alkalmazásboltokból származó alkalmazásokon keresztül.
Ennek ellenére a fenyegetés szereplőinek sikerült folytatniuk rosszindulatú programokat csalhat az Android-eszközökre a Playen keresztül olyan funkciókkal visszaélve, mint az Android AccessibilityService, vagy többlépcsős fertőzési folyamatok használatával, és olyan csomagtelepítők használatával, amelyek a Play Áruházban találhatókat utánozzák a rosszindulatú alkalmazások oldalirányú betöltésére, mondta a ThreatFabric.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :van
- :is
- :nem
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Rólunk
- megközelíthetőség
- Fiók
- Felgyülemlett
- cselekvések
- tevékenységek
- szereplők
- Után
- Figyelmeztetések
- lehetővé
- megengedett
- Is
- megváltozott
- között
- an
- és a
- android
- Android 13
- bármilyen
- bármi
- app
- app store
- megjelent
- Apple
- Alkalmazás
- alkalmazások
- megközelítés
- alkalmazások
- AS
- At
- Támadások
- automatizált
- automatikusan
- Bank
- bankszámla
- Banking
- Banks
- BE
- óta
- Kezdet
- viselkedés
- beépített
- by
- Kampány
- TUD
- Kategória
- esély
- választotta
- megkerülése
- azt állította,
- tisztító
- kód
- Configuration
- folytatódik
- ellenőrzés
- országok
- Hitelesítő adatok
- Hitelesség
- Ügyfelek
- Cseh Köztársaság
- Veszélyes
- szállít
- leírt
- tervezett
- Érzékelés
- eszköz
- Eszközök
- Dex
- számára
- felfedezés
- különböző
- terjeszteni
- elosztó
- letöltései
- szinkronizált
- alatt
- dinamikusan
- minden
- könnyebb
- megszüntetése
- lehetővé téve
- vonzó
- fokozása
- Európa
- európai
- Európai országok
- kivégez
- végrehajtó
- Hasznosított
- szövet
- messze
- Funkció
- Jellemzők
- filé
- Fájlok
- Végül
- leletek
- vezetéknév
- öt
- A
- négy
- Franciaország
- csalás
- csalások felderítése
- Ingyenes
- gyakran
- ból ből
- funkcionalitás
- alapok
- Németország
- kap
- A Google Play
- Őr
- fél
- nehezebb
- káros
- Legyen
- Magas
- azonban
- HTML
- HTTPS
- if
- végre
- in
- beleértve
- növekvő
- fertőzések
- info
- információ
- kezdetben
- alapvetően
- telepítés
- telepítve
- telepítése
- kölcsönhatásba
- kölcsönhatás
- bele
- Bevezetett
- IT
- Olaszország
- ITS
- maga
- jpg
- Királyság
- Telek
- a későbbiekben
- legutolsó
- legkevésbé
- jogos
- mint
- log
- leeresztés
- készült
- csinál
- rosszindulatú
- malware
- sikerült
- mechanizmusok
- Mobil
- Mobil alkalmazás
- mobil-alkalmazásokat
- ellenőrzés
- hónap
- a legtöbb
- sok
- többszörös
- Szükség
- igények
- Új
- nem
- neves
- semmi
- november
- számos
- of
- hivatalos
- gyakran
- on
- egyszer
- ONE
- folyamatban lévő
- csak
- -ra
- operátor
- üzemeltetők
- or
- Más
- felett
- csomag
- engedélyek
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- Play Áruház
- potenciális
- potenciálisan
- előző
- korábban
- folyamat
- Folyamatok
- szapora
- Arány
- Az árak
- el
- Olvasó
- real-time
- ok
- kapott
- új
- régiók
- viszonylag
- engedje
- távoli
- jelentést
- Köztársaság
- szükség
- korlátozott
- korlátozások
- s
- Mondott
- vizsgál
- biztonság
- szerver
- szolgáltatás
- beállítások
- számos
- jelentős
- Jelek
- óta
- Szlovénia
- settenkedik
- So
- speciális
- speciális szükségletek
- Szponzorált
- tárolni
- árnyékolók
- sikeres
- ilyen
- javasol
- gyanús
- rendszer
- Vesz
- célzott
- célzás
- célok
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- ezt
- ezen a héten
- azok
- fenyegetés
- fenyegetés szereplői
- alkalommal
- nak nek
- felső
- Végösszeg
- trójai
- megpróbál
- típus
- kibontakozó
- Egyesült
- Egyesült Királyság
- Frissítések
- feltöltve
- URL
- us
- használ
- használt
- használó
- Felhasználók
- segítségével
- eladó
- keresztül
- áldozatok
- nézők
- hullám
- hullámok
- hét
- Mit
- amikor
- ami
- míg
- val vel
- év
- zephyrnet