攻撃者は、Google の Play ストアで正規のモバイル アプリを装ったマルウェア ドロッパーを使用して、「Anatsa」と呼ばれる危険なバンキング トロイの木馬をヨーロッパのいくつかの国で Android ユーザーに配布しています。
このキャンペーンは少なくとも 2020 か月間継続されており、XNUMX 年に初めて表面化し、これまでに米国、イタリア、英国、フランス、ドイツなどの国々で被害者を出してきたこのマルウェアの運営者による最新の一斉攻撃です。
急増する感染率
ThreatFabric の研究者は、最初の発見以来 Anatsa を監視しており、2023 年 XNUMX 月に始まる新たな攻撃の波を発見しました。 今週のレポートでは、 不正検出ベンダーは、攻撃がスロバキア、スロベニア、チェコ共和国の銀行の顧客を標的とした複数の異なる波で展開していると説明しました。
これまでのところ、標的となった地域の Android ユーザーは 100,000 月以降、Google の Play ストアからマルウェアのドロッパーを少なくとも 2023 万回ダウンロードしました。 ThreatFabric が追跡した 130,000 年上半期の前回のキャンペーンでは、攻撃者は Google のモバイル アプリ ストアから Anatsa 用の武器化ドロッパーを XNUMX 件以上インストールしていました。
ThreatFabric は、感染率が比較的高いのは、Google Play のドロッパーが Android デバイスに Anatsa を配信するために使用する多段階のアプローチにあると考えています。ドロッパーが最初に Play にアップロードされたとき、悪意のある動作を示唆するものは何もありません。ドロッパーが Play に到達した後でのみ、悪意のあるアクションを実行するためのコードがリモート コマンド アンド コントロール (C2) サーバーから動的に取得されます。
クリーナーアプリを装ったドロッパーの 1 つは、正当な理由と思われる理由で Android のユーザー補助サービス機能へのアクセス許可を要求すると主張しました。 Android のアクセシビリティ サービスは、障害を持つユーザーや特別なニーズを持つユーザーが Android アプリを簡単に操作できるように設計された特別なタイプの機能です。脅威アクターはこの機能を頻繁に悪用して、Android デバイスへのペイロードのインストールを自動化し、プロセス中のユーザー操作の必要性を排除しています。
多段階アプローチ
「当初、[クリーナー] アプリは悪意のないコードがなく、AccessibilityService が有害な活動を行っていないため、無害であるように見えました」と ThreatFabric は述べています。 「しかし、リリースから 2 週間後、アップデートにより悪意のあるコードが導入されました。このアップデートにより AccessibilityService の機能が変更され、CXNUMX サーバーから設定を受信すると自動的にボタンをクリックするなどの悪意のあるアクションが実行できるようになりました」とベンダーは述べています。
ドロッパーが C2 サーバーから動的に取得したファイルには、Android アプリケーション コードを配布するための悪意のある DEX ファイルの構成情報が含まれていました。 DEX ファイル自体には、ペイロードをインストールするための悪意のあるコード、ペイロード URL を使用した構成、そして最後にデバイスに Anatsa をダウンロードしてインストールするためのコードが含まれています。
Threat Fabricによると、脅威アクターが使用した動的にロードされる多段階のアプローチにより、最新のキャンペーンで使用された各ドロッパーは、GoogleがAndroid 13で実装したより厳しいAccessibilityService制限を回避することができたという。
最新のキャンペーンでは、Anatsa の運営者は、Google Play 上の無料のデバイス クリーナー アプリ、PDF ビューア、PDF リーダー アプリを装った合計 3 つのドロッパーを使用することを選択しました。 「これらのアプリケーションは、『Top New Free』カテゴリでトップ XNUMX に入ることが多く、その信頼性を高め、潜在的な被害者の警戒を緩めると同時に、侵入が成功する可能性を高めます」と ThreatFabric はレポートで述べています。 Anasta は、システムにインストールされると、資格情報やその他の情報を盗むことができ、これにより、攻撃者がデバイスを乗っ取り、後でユーザーの銀行口座にログインして資金を盗むことが可能になります。
Apple と同様に、Google も近年、多数のセキュリティ メカニズムを実装してきました。 脅威アクターが悪意のあるアプリを忍び込むのを困難にします 公式モバイルアプリストア経由で Android デバイスにインストールできます。その中で最も重要なものの 1 つは、 Google Play Protectは、アプリのインストールをリアルタイムでスキャンして潜在的に悪意のある動作や有害な動作の兆候がないかを調べ、疑わしいものが見つかった場合はアプリに警告を発するか無効にする組み込みの Android 機能です。 Android の制限設定機能により、攻撃者がサイドロードされたアプリや非公式アプリケーション ストアのアプリを介して Android デバイスに感染しようとすることも非常に困難になります。
それでも、脅威アクターは引き続き攻撃を続けています。 Android デバイスにマルウェアを忍び込ませる ThreatFabricによると、AndroidのAccessibilityServiceなどの機能を悪用したり、多段階の感染プロセスを利用したり、Playストア上のパッケージインストーラーを模倣したパッケージインストーラーを利用して悪意のあるアプリをサイドロードしたりすることによって、Play経由で感染するという。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :持っている
- :は
- :not
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- 私たちについて
- 接近性
- 累積された
- 行動
- 活動
- 俳優
- 後
- アラート
- 許す
- 許可されて
- また
- 標準装備されたものが、
- 間で
- an
- および
- アンドロイド
- Androidの13
- どれか
- 何でも
- アプリ
- アプリストア
- 登場
- Apple
- 申し込み
- アプローチ
- アプリ
- AS
- At
- 攻撃
- 自動化する
- 自動的に
- 銀行
- 預金
- バンキング
- 銀行
- BE
- き
- 開始
- 行動
- 内蔵
- by
- キャンペーン
- 缶
- カテゴリー
- チャンス
- 選んだ
- 回避する
- 主張した
- クリーナー
- コード
- 続ける
- コントロール
- 国
- Credentials
- 信頼性
- Customers
- チェコ共和国
- 危険な
- 配信する
- 記載された
- 設計
- 検出
- デバイス
- Devices
- デックス
- 障害者
- 発見
- 明確な
- 分配します
- 配布する
- ダウンロード
- ダビングされた
- 間に
- 動的に
- 各
- 容易
- 排除する
- 有効にする
- 魅力的
- 強化
- ヨーロッパ
- 欧州言語
- ヨーロッパ諸国
- 実行します
- 実行
- 搾取
- ファブリック
- 遠く
- 特徴
- 特徴
- File
- 最後に
- 発見
- 名
- 五
- 4
- フランス
- 詐欺
- 不正検出
- 無料版
- 頻繁に
- から
- 機能性
- 資金
- ドイツ
- 取得する
- でログイン
- Google Playで
- ガード
- 半分
- もっと強く
- 有害な
- 持ってる
- ハイ
- しかしながら
- HTML
- HTTPS
- if
- 実装
- in
- 含まれました
- の増加
- 感染症
- info
- 情報
- 初期
- 当初
- インストール
- インストール
- インストールする
- 対話
- 相互作用
- に
- 導入
- IT
- Italy
- ITS
- 自体
- JPG
- 王国
- 土地
- 後で
- 最新の
- 最低
- 正当な
- ような
- ログ
- 導入トータルコストの
- 製
- make
- 悪意のある
- マルウェア
- マネージド
- メカニズム
- モバイル
- モバイルアプリ
- モバイルアプリ
- モニタリング
- ヶ月
- 最も
- ずっと
- の試合に
- 必要
- ニーズ
- 新作
- いいえ
- 注意
- 何も
- 11月
- 多数の
- of
- 公式
- 頻繁に
- on
- かつて
- ONE
- 継続
- の
- 〜に
- オペレータ
- 演算子
- or
- その他
- が
- パッケージ
- パーミッション
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- Playストア
- 潜在的な
- :
- 前
- 前に
- プロセス
- ラボレーション
- 豊富な
- レート
- 価格表
- リーチ
- リーダー
- への
- 理由
- 受け
- 最近
- 地域
- 相対的に
- リリース
- リモート
- レポート
- 共和国
- 必要とする
- 制限されました
- 制限
- s
- 前記
- スキャン
- セキュリティ
- サービス
- 設定
- いくつかの
- 重要
- サイン
- から
- スロベニア
- こっそり
- So
- 特別
- 特別なニーズ
- スポンサー
- 店舗
- 店舗
- 成功した
- そのような
- 示唆する
- 疑わしい
- 取る
- 対象となります
- ターゲット
- ターゲット
- それ
- アプリ環境に合わせて
- それら
- その後
- そこ。
- ボーマン
- 彼ら
- この
- 今週
- それらの
- 脅威
- 脅威アクター
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- top
- トータル
- トロイの
- 試します
- type
- 展開する
- ユナイテッド
- イギリス
- アップデイト
- アップロード
- URL
- us
- つかいます
- 中古
- ユーザー
- users
- ベンダー
- 、
- 犠牲者
- 視聴者
- ウェーブ
- 波浪
- 週間
- この試験は
- いつ
- which
- while
- 年
- ゼファーネット