Pelaku ancaman menggunakan malware dropper yang menyamar sebagai aplikasi seluler sah di Google Play Store untuk mendistribusikan Trojan perbankan berbahaya yang dijuluki โAnatsaโ ke pengguna Android di beberapa negara Eropa.
Kampanye ini telah berlangsung setidaknya selama empat bulan dan merupakan serangan terbaru dari operator malware tersebut, yang pertama kali muncul pada tahun 2020 dan sebelumnya telah memakan korban di AS, Italia, Inggris, Prancis, Jerman, dan negara-negara lain.
Tingkat Infeksi yang Produktif
Para peneliti dari ThreatFabric telah memantau Anatsa sejak penemuan awal dan melihat gelombang serangan baru yang dimulai pada November 2023. Dalam laporan minggu ini, vendor pendeteksi penipuan menggambarkan serangan tersebut terjadi dalam berbagai gelombang berbeda yang menargetkan nasabah bank di Slovakia, Slovenia, dan Republik Ceko.
Sejauh ini, pengguna Android di wilayah yang ditargetkan telah mengunduh dropper malware tersebut dari Google Play Store setidaknya 100,000 kali sejak bulan November. Dalam kampanye sebelumnya pada paruh pertama tahun 2023 yang dilacak oleh ThreatFabric, pelaku ancaman mengumpulkan lebih dari 130,000 instalasi dropper bersenjata untuk Anatsa dari toko aplikasi seluler Google.
ThreatFabric mengaitkan tingkat infeksi yang relatif tinggi dengan pendekatan muti-stage yang digunakan para dropper di Google Play untuk mengirimkan Anatsa di perangkat Android. Saat dropper pertama kali diunggah ke Play, tidak ada satu pun hal di dalamnya yang menunjukkan perilaku jahat. Hanya setelah mereka mendarat di Play, dropper secara dinamis mengambil kode untuk menjalankan tindakan berbahaya dari server perintah dan kontrol jarak jauh (C2).
Salah satu dropper, yang menyamar sebagai aplikasi yang lebih bersih, mengaku memerlukan izin untuk fitur Layanan Aksesibilitas Android karena alasan yang tampaknya sah. Layanan Aksesibilitas Android adalah jenis fitur khusus yang dirancang untuk memudahkan pengguna penyandang disabilitas dan berkebutuhan khusus untuk berinteraksi dengan aplikasi Android. Pelaku ancaman sering kali mengeksploitasi fitur ini untuk mengotomatiskan instalasi payload pada perangkat Android dan menghilangkan kebutuhan akan interaksi pengguna selama proses tersebut.
Pendekatan Multi-Tahap
โAwalnya aplikasi [pembersih] tampak tidak berbahaya, tanpa kode berbahaya dan Layanan Aksesibilitasnya tidak terlibat dalam aktivitas berbahaya apa pun,โ kata ThreatFabric. โNamun, seminggu setelah dirilis, pembaruan memperkenalkan kode berbahaya. Pembaruan ini mengubah fungsionalitas AccessibilityService, memungkinkannya melakukan tindakan jahat seperti mengklik tombol secara otomatis setelah menerima konfigurasi dari server C2,โ vendor mencatat.
File yang diambil secara dinamis oleh dropper dari server C2 menyertakan informasi konfigurasi untuk file DEX berbahaya untuk mendistribusikan kode aplikasi Android; file DEX itu sendiri dengan kode berbahaya untuk instalasi payload, konfigurasi dengan URL payload, dan terakhir kode untuk mengunduh dan menginstal Anatsa di perangkat.
Pendekatan multi-tahap dan dimuat secara dinamis yang digunakan oleh pelaku ancaman memungkinkan setiap dropper yang mereka gunakan dalam kampanye terbaru menghindari pembatasan AccessibilityService yang lebih ketat yang diterapkan Google di Android 13, kata Threat Fabric.
Untuk kampanye terbaru, operator Anatsa memilih untuk menggunakan total lima dropper yang disamarkan sebagai aplikasi pembersih perangkat gratis, penampil PDF, dan aplikasi pembaca PDF di Google Play. โAplikasi ini sering kali mencapai Top-3 dalam kategori 'Top New Free', meningkatkan kredibilitas mereka dan menurunkan kewaspadaan terhadap calon korban sekaligus meningkatkan peluang keberhasilan infiltrasi,โ kata ThreatFabric dalam laporannya. Setelah terinstal di suatu sistem, Anasta dapat mencuri kredensial dan informasi lain yang memungkinkan pelaku ancaman mengambil alih perangkat dan kemudian masuk ke rekening bank pengguna dan mencuri dana darinya.
Seperti Apple, Google telah menerapkan berbagai mekanisme keamanan dalam beberapa tahun terakhir mempersulit pelaku ancaman untuk menyelinapkan aplikasi berbahaya ke perangkat Android melalui toko aplikasi seluler resminya. Salah satu yang paling penting di antara mereka adalah Google Play Protect, fitur bawaan Android yang memindai instalasi aplikasi secara real-time untuk mencari tanda-tanda perilaku yang berpotensi berbahaya atau membahayakan, lalu memperingatkan atau menonaktifkan aplikasi jika menemukan sesuatu yang mencurigakan. Fitur pengaturan terbatas Android juga mempersulit pelaku ancaman untuk mencoba dan menginfeksi perangkat Android melalui aplikasi yang dipindahkan โ atau aplikasi dari toko aplikasi tidak resmi.
Meski begitu, pelaku ancaman masih terus melakukan hal tersebut menyelinap malware ke perangkat Android melalui Play dengan menyalahgunakan fitur seperti AccessibilityService Android, atau dengan menggunakan proses infeksi multi-tahap dan dengan menggunakan penginstal paket yang meniru yang ada di Play Store untuk melakukan sideload aplikasi berbahaya, kata ThreatFabric.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :memiliki
- :adalah
- :bukan
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Tentang Kami
- aksesibilitas
- Akun
- Akumulasi
- tindakan
- kegiatan
- aktor
- Setelah
- Alerts
- mengizinkan
- diizinkan
- juga
- diubah
- antara
- an
- dan
- android
- Android 13
- Apa pun
- apa saja
- aplikasi
- app store
- Muncul
- Apple
- Aplikasi
- aplikasi
- pendekatan
- aplikasi
- AS
- At
- Serangan
- mengotomatisasikan
- secara otomatis
- Bank
- akun bank
- Perbankan
- Bank
- BE
- menjadi
- Awal
- laku
- built-in
- by
- Kampanye
- CAN
- Kategori
- kesempatan
- memilih
- mengelakkan
- diklaim
- pembersih
- kode
- konfigurasi
- terus
- kontrol
- negara
- Surat kepercayaan
- Kredibilitas
- pelanggan
- Republik Ceko
- Berbahaya
- menyampaikan
- dijelaskan
- dirancang
- Deteksi
- alat
- Devices
- dex
- cacat
- penemuan
- berbeda
- mendistribusikan
- mendistribusikan
- download
- dijuluki
- selama
- dinamis
- setiap
- mudah
- menghapuskan
- memungkinkan
- menarik
- meningkatkan
- Eropa
- Eropa
- Negara-negara Eropa
- menjalankan
- mengeksekusi
- dieksploitasi
- kain
- jauh
- Fitur
- Fitur
- File
- File
- Akhirnya
- menemukan
- Pertama
- lima
- Untuk
- empat
- Prancis
- penipuan
- deteksi penipuan
- Gratis
- sering
- dari
- fungsi
- dana-dana
- Jerman
- mendapatkan
- Google Play
- Penjaga
- Setengah
- sulit
- berbahaya
- Memiliki
- High
- Namun
- HTML
- HTTPS
- if
- diimplementasikan
- in
- termasuk
- meningkatkan
- infeksi
- Info
- informasi
- mulanya
- mulanya
- instalasi
- diinstal
- Instalasi
- berinteraksi
- interaksi
- ke
- diperkenalkan
- IT
- Italia
- NYA
- Diri
- jpg
- Kerajaan
- Tanah
- kemudian
- Terbaru
- paling sedikit
- sah
- 'like'
- mencatat
- Penurunan
- terbuat
- membuat
- jahat
- malware
- berhasil
- mekanisme
- mobil
- aplikasi ponsel
- ponsel-apps
- pemantauan
- bulan
- paling
- banyak
- beberapa
- Perlu
- kebutuhan
- New
- tidak
- terkenal
- tidak ada
- November
- banyak sekali
- of
- resmi
- sering
- on
- sekali
- ONE
- terus-menerus
- hanya
- ke
- operator
- operator
- or
- Lainnya
- lebih
- paket
- Izin
- plato
- Kecerdasan Data Plato
- Data Plato
- Bermain
- Play Store
- potensi
- berpotensi
- sebelumnya
- sebelumnya
- proses
- proses
- produktif
- Penilaian
- Tarif
- mencapai
- Pembaca
- real-time
- alasan
- diterima
- baru
- daerah
- relatif
- melepaskan
- terpencil
- melaporkan
- Republik
- membutuhkan
- terbatas
- pembatasan
- s
- Tersebut
- scan
- keamanan
- Server
- layanan
- pengaturan
- beberapa
- penting
- Tanda
- sejak
- Slovenia
- menyelinap
- So
- khusus
- kebutuhan khusus
- Disponsori
- menyimpan
- toko
- sukses
- seperti itu
- menyarankan
- mencurigakan
- sistem
- Mengambil
- ditargetkan
- penargetan
- target
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- Ini
- mereka
- ini
- minggu ini
- itu
- ancaman
- aktor ancaman
- kali
- untuk
- puncak
- Total
- Trojan
- mencoba
- mengetik
- berlangsung
- Serikat
- Inggris Raya
- Memperbarui
- upload
- URL
- us
- menggunakan
- bekas
- Pengguna
- Pengguna
- menggunakan
- penjaja
- melalui
- korban
- pemirsa
- Gelombang
- ombak
- minggu
- Apa
- ketika
- yang
- sementara
- dengan
- tahun
- zephyrnet.dll