Un autore di minacce utilizza dropper di malware mascherati da app mobili legittime sul Play Store di Google per distribuire un pericoloso trojan bancario denominato "Anatsa" agli utenti Android in diversi paesi europei.
La campagna è in corso da almeno quattro mesi ed è l’ultima salva degli operatori del malware, emerso per la prima volta nel 2020 e che in precedenza ha mietuto vittime negli Stati Uniti, Italia, Regno Unito, Francia, Germania e altri paesi.
Tasso prolifico di infezioni
I ricercatori di ThreatFabric hanno monitorato Anatsa sin dalla sua scoperta iniziale e hanno individuato la nuova ondata di attacchi a partire da novembre 2023. In un report di questa settimana, il fornitore di servizi di rilevamento delle frodi ha descritto gli attacchi come se si svolgessero in più ondate distinte contro i clienti delle banche in Slovacchia, Slovenia e Repubblica Ceca.
Finora, gli utenti Android nelle regioni prese di mira hanno scaricato i dropper del malware dal Play Store di Google almeno 100,000 volte da novembre. In una precedente campagna monitorata da ThreatFabric durante la prima metà del 2023, gli autori delle minacce hanno accumulato oltre 130,000 installazioni dei suoi dropper armati per Anatsa dall'app store mobile di Google.
ThreatFabric ha attribuito i tassi di infezione relativamente elevati all'approccio in più fasi utilizzato dai dropper su Google Play per fornire Anatsa sui dispositivi Android. Quando i dropper vengono inizialmente caricati su Play, non c'è nulla che suggerisca un comportamento dannoso. È solo dopo essere arrivati su Play che i dropper recuperano dinamicamente il codice per eseguire azioni dannose da un server di comando e controllo remoto (C2).
Uno dei dropper, mascherato da app più pulita, affermava di richiedere le autorizzazioni per la funzionalità del servizio di accessibilità di Android per quello che sembrava essere un motivo legittimo. Il servizio di accessibilità di Android è un tipo speciale di funzionalità progettata per facilitare l'interazione con le app Android da parte degli utenti con disabilità e con esigenze speciali. Gli autori delle minacce hanno spesso sfruttato questa funzionalità per automatizzare l'installazione del payload sui dispositivi Android ed eliminare la necessità di qualsiasi interazione da parte dell'utente durante il processo.
Approccio multistadio
"Inizialmente l'app [più pulita] sembrava innocua, senza codice dannoso e il suo AccessibilityService non era coinvolto in alcuna attività dannosa", ha affermato ThreatFabric. “Tuttavia, una settimana dopo il suo rilascio, un aggiornamento ha introdotto codice dannoso. Questo aggiornamento ha alterato la funzionalità di AccessibilityService, consentendogli di eseguire azioni dannose come il clic automatico sui pulsanti una volta ricevuta una configurazione dal server C2", ha osservato il fornitore.
I file recuperati dinamicamente dal dropper dal server C2 includevano informazioni di configurazione per un file DEX dannoso per la distribuzione del codice dell'applicazione Android; un file DEX stesso con codice dannoso per l'installazione del payload, configurazione con un URL del payload e infine codice per il download e l'installazione di Anatsa sul dispositivo.
L’approccio multifase e caricato dinamicamente utilizzato dagli autori delle minacce ha consentito a ciascuno dei dropper utilizzati nell’ultima campagna di eludere le restrizioni più severe del servizio di accessibilità implementate da Google in Android 13, ha affermato Threat Fabric.
Per l'ultima campagna, l'operatore di Anatsa ha scelto di utilizzare un totale di cinque contagocce mascherati da app gratuite per la pulizia dei dispositivi, visualizzatori di PDF e app di lettura di PDF su Google Play. "Queste applicazioni spesso raggiungono le prime 3 posizioni nella categoria 'Top New Free', aumentando la loro credibilità e abbassando la guardia nei confronti delle potenziali vittime, aumentando allo stesso tempo le possibilità di successo dell'infiltrazione", ha affermato ThreatFabric nel suo rapporto. Una volta installato su un sistema, Anasta può rubare credenziali e altre informazioni che consentono all'autore della minaccia di impossessarsi del dispositivo e successivamente accedere al conto bancario dell'utente e rubarne i fondi.
Come Apple, negli ultimi anni Google ha implementato numerosi meccanismi di sicurezza rendere più difficile per gli autori delle minacce introdurre di nascosto app dannose nei dispositivi Android tramite il suo app store mobile ufficiale. Uno dei più significativi tra questi è Google Play Protect, una funzionalità integrata di Android che analizza le installazioni delle app in tempo reale alla ricerca di segnali di comportamenti potenzialmente dannosi o dannosi, quindi avvisa o disattiva l'app se rileva qualcosa di sospetto. La funzionalità delle impostazioni limitate di Android ha inoltre reso molto più difficile per gli autori delle minacce tentare di infettare i dispositivi Android tramite app trasferite localmente o app provenienti da store di applicazioni non ufficiali.
Anche così, gli autori delle minacce sono riusciti a continuare a farlo introdurre malware sui dispositivi Android tramite Play abusando di funzionalità come AccessibilityService di Android o utilizzando processi di infezione a più fasi e utilizzando programmi di installazione di pacchetti che imitano quelli del Play Store per trasferire app dannose, ha affermato ThreatFabric.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :ha
- :È
- :non
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- WRI
- accessibilità
- Il mio account
- Accumulato
- azioni
- attività
- attori
- Dopo shavasana, sedersi in silenzio; saluti;
- Avvisi
- consentire
- permesso
- anche
- alterato
- tra
- an
- ed
- androide
- Android 13
- in qualsiasi
- nulla
- App
- App store
- apparso
- Apple
- Applicazioni
- applicazioni
- approccio
- applicazioni
- AS
- At
- attacchi
- automatizzare
- automaticamente
- Banca
- conto bancario
- Settore bancario
- Banche
- BE
- stato
- Inizio
- comportamento
- incassato
- by
- Campagna
- Materiale
- Categoria
- probabilità
- ha scelto
- aggirare
- rivendicato
- depuratore
- codice
- Configurazione
- continua
- di controllo
- paesi
- Credenziali
- Credibilità
- Clienti
- Repubblica Ceca
- Pericoloso
- consegnare
- descritta
- progettato
- rivelazione
- dispositivo
- dispositivi
- Dex
- disabilità
- scoperta
- distinto
- distribuire
- distribuzione
- il download
- soprannominato
- durante
- dinamicamente
- ogni
- più facile
- eliminato
- consentendo
- impegnandosi
- migliorando
- Europa
- europeo
- Paesi europei
- eseguire
- esecuzione
- Exploited
- tessuto
- lontano
- caratteristica
- Caratteristiche
- Compila il
- File
- Infine
- trova
- Nome
- cinque
- Nel
- quattro
- Francia
- frode
- rilevazione di frodi
- Gratis
- frequentemente
- da
- funzionalità
- fondi
- Germania
- ottenere
- Google Play
- Guardia
- Metà
- Più forte
- dannoso
- Avere
- Alta
- Tuttavia
- HTML
- HTTPS
- if
- implementato
- in
- incluso
- crescente
- infezioni
- info
- informazioni
- inizialmente
- inizialmente
- installazione
- installato
- installazione
- interagire
- interazione
- ai miglioramenti
- introdotto
- IT
- Italia
- SUO
- stessa
- jpg
- Regno
- Paese
- dopo
- con i più recenti
- meno
- legittimo
- piace
- ceppo
- Abbattimento dei Costi
- fatto
- make
- maligno
- il malware
- gestito
- meccanismi di
- Mobile
- mobile app
- mobili-apps
- monitoraggio
- mese
- maggior parte
- molti
- multiplo
- Bisogno
- esigenze
- New
- no
- noto
- Niente
- Novembre
- numerose
- of
- ufficiale
- di frequente
- on
- una volta
- ONE
- in corso
- esclusivamente
- su
- operatore
- Operatori
- or
- Altro
- ancora
- pacchetto
- permessi
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- Play Store
- potenziale
- potenzialmente
- precedente
- in precedenza
- processi
- i processi
- prolifico
- tasso
- raggiungere
- Lettore
- tempo reale
- ragione
- ricevuto
- recente
- regioni
- relativamente
- rilasciare
- a distanza
- rapporto
- Repubblica
- richiedere
- limitato
- restrizioni
- s
- Suddetto
- scansioni
- problemi di
- server
- servizio
- impostazioni
- alcuni
- significativa
- Segni
- da
- Slovenia
- nascosto
- So
- la nostra speciale
- bisogni speciali
- Sponsored
- Tornare al suo account
- negozi
- di successo
- tale
- suggerire
- sospettoso
- sistema
- Fai
- mirata
- mira
- obiettivi
- che
- Il
- loro
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- questa settimana
- quelli
- minaccia
- attori della minaccia
- volte
- a
- top
- Totale
- Trojan
- prova
- Digitare
- dispiegarsi
- Unito
- UK
- Aggiornanento
- caricato
- URL
- us
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- venditore
- via
- vittime
- spettatori
- Wave
- onde
- settimana
- Che
- quando
- quale
- while
- con
- anni
- zefiro