Een bedreigingsacteur gebruikt malware-droppers, vermomd als legitieme mobiele apps in de Play Store van Google, om een gevaarlijke banktrojan met de naam 'Anatsa' te verspreiden onder Android-gebruikers in verschillende Europese landen.
De campagne loopt al minstens vier maanden en is het nieuwste salvo van de exploitanten van de malware, die voor het eerst opdook in 2020 en eerder slachtoffers maakte in de VS, Italië, het Verenigd Koninkrijk, Frankrijk, Duitsland en andere landen.
Vruchtbaar aantal infecties
Onderzoekers van ThreatFabric volgen Anatsa sinds de eerste ontdekking en hebben de nieuwe golf van aanvallen opgemerkt die in november 2023 begon. In een rapport deze week De fraudedetectieleverancier beschreef de aanvallen als een proces dat zich afspeelde in meerdere afzonderlijke golven, gericht op klanten van banken in Slowakije, Slovenië en Tsjechië.
Tot nu toe hebben Android-gebruikers in de beoogde regio's sinds november minstens 100,000 keer droppers voor de malware gedownload uit de Google Play Store. In een eerdere campagne in de eerste helft van 2023 die ThreatFabric volgde, verzamelden de bedreigingsactoren meer dan 130,000 installaties van hun bewapende droppers voor Anatsa uit de mobiele app store van Google.
ThreatFabric schreef de relatief hoge infectiepercentages toe aan de aanpak in meerdere fasen die de droppers op Google Play gebruiken om Anatsa op Android-apparaten te leveren. Wanneer de droppers voor het eerst naar Play worden geüpload, is er niets dat op kwaadaardig gedrag duidt. Pas nadat ze op Play zijn beland, halen de droppers dynamisch code op voor het uitvoeren van kwaadaardige acties van een C2-server (remote command and control).
Een van de droppers, vermomd als een schonere app, beweerde toestemming te hebben voor de Accessibility Service-functie van Android om wat een legitieme reden leek. De Toegankelijkheidsservice van Android is een speciaal type functie die is ontworpen om het voor gebruikers met een handicap en speciale behoeften gemakkelijker te maken om met Android-apps te communiceren. Bedreigingsactoren hebben deze functie vaak misbruikt om de installatie van payloads op Android-apparaten te automatiseren en de noodzaak van gebruikersinteractie tijdens het proces te elimineren.
Meerfasige aanpak
“Aanvankelijk leek de [cleaner] app onschadelijk, zonder kwaadaardige code en de AccessibilityService ontplooide geen schadelijke activiteiten”, aldus ThreatFabric. “Een week na de release introduceerde een update echter kwaadaardige code. Deze update veranderde de AccessibilityService-functionaliteit, waardoor deze kwaadaardige acties kon uitvoeren, zoals het automatisch klikken op knoppen zodra het een configuratie van de C2-server ontving”, merkte de leverancier op.
De bestanden die de dropper dynamisch ophaalde van de C2-server bevatten configuratie-informatie voor een kwaadaardig DEX-bestand voor het distribueren van Android-applicatiecode; een DEX-bestand zelf met kwaadaardige code voor de installatie van de payload, configuratie met een payload-URL en ten slotte code voor het downloaden en installeren van Anatsa op het apparaat.
De meerfasige, dynamisch geladen aanpak die door de bedreigingsactoren werd gebruikt, stelde elk van de droppers die ze in de laatste campagne gebruikten in staat om de strengere AccessibilityService-beperkingen te omzeilen die Google in Android 13 had geïmplementeerd, aldus Threat Fabric.
Voor de nieuwste campagne heeft de exploitant van Anatsa ervoor gekozen om in totaal vijf droppers te gebruiken, vermomd als gratis app voor het opschonen van apparaten, pdf-viewers en pdf-lezer-apps op Google Play. "Deze applicaties bereiken vaak de Top-3 in de categorie 'Top New Free', waardoor hun geloofwaardigheid wordt vergroot en de waakzaamheid van potentiële slachtoffers wordt verminderd, terwijl de kansen op succesvolle infiltratie worden vergroot", aldus ThreatFabric in zijn rapport. Eenmaal op een systeem geïnstalleerd, kan Anasta inloggegevens en andere informatie stelen waarmee de bedreigingsacteur het apparaat kan overnemen en later kan inloggen op de bankrekening van de gebruiker en er geld van kan stelen.
Net als Apple heeft Google de afgelopen jaren talloze beveiligingsmechanismen geïmplementeerd maken het voor bedreigingsactoren moeilijker om kwaadaardige apps te sluipen naar Android-apparaten via de officiële mobiele app store. Een van de belangrijkste daarvan is Google Play Protect, een ingebouwde Android-functie die app-installaties in realtime scant op tekenen van potentieel kwaadaardig of schadelijk gedrag, en vervolgens de app waarschuwt of uitschakelt als deze iets verdachts vindt. De functie voor beperkte instellingen van Android heeft het voor bedreigingsactoren ook veel moeilijker gemaakt om Android-apparaten te infecteren via sideloaded apps – of apps uit niet-officiële applicatiestores.
Toch zijn de dreigingsactoren erin geslaagd dit te blijven doen malware op Android-apparaten sluipen via Play door misbruik te maken van functies zoals de AccessibilityService van Android, of door meerfasige infectieprocessen te gebruiken en door pakketinstallatieprogramma's te gebruiken die die in de Play Store nabootsen om kwaadaardige apps te sideloaden, aldus ThreatFabric.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- : heeft
- :is
- :niet
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Over
- de toegankelijkheid
- Account
- Geaccumuleerd
- acties
- activiteiten
- actoren
- Na
- Alerts
- toelaten
- toegestaan
- ook
- gewijzigd
- onder
- an
- en
- android
- Android 13
- elke
- iets
- gebruiken
- app store
- verscheen
- Apple
- Aanvraag
- toepassingen
- nadering
- apps
- AS
- At
- Aanvallen
- automatiseren
- webmaster.
- Bank
- bankrekening
- Bankieren
- Banken
- BE
- geweest
- Begin
- gedrag
- ingebouwd
- by
- Campagne
- CAN
- Categorie
- kansen
- koos
- ontduiken
- beweerde
- schoonmaak
- code
- Configuratie
- voortzetten
- onder controle te houden
- landen
- Geloofsbrieven
- Geloofwaardigheid
- Klanten
- Tsjechische Republiek
- gevaarlijk
- leveren
- beschreven
- ontworpen
- Opsporing
- apparaat
- systemen
- Dex
- een handicap
- ontdekking
- onderscheiden
- verdelen
- verspreiden van
- downloaden
- nagesynchroniseerde
- gedurende
- dynamisch
- elk
- gemakkelijker
- elimineren
- waardoor
- boeiende
- verbeteren
- Europa
- Nederlands
- Europese Landen
- uitvoeren
- uitvoeren
- Exploited
- stof
- ver
- Kenmerk
- Voordelen
- Dien in
- Bestanden
- Tot slot
- vondsten
- Voornaam*
- vijf
- Voor
- vier
- Frankrijk
- bedrog
- fraude detectie
- Gratis
- vaak
- oppompen van
- functionaliteit
- fondsen
- Duitsland
- krijgen
- Kopen Google Reviews
- Google Play
- bewaker
- Helft
- harder
- schadelijk
- Hebben
- Hoge
- Echter
- HTML
- HTTPS
- if
- geïmplementeerd
- in
- inclusief
- meer
- infecties
- info
- informatie
- eerste
- eerste
- installatie
- geïnstalleerd
- installeren
- interactie
- wisselwerking
- in
- geïntroduceerd
- IT
- Italië
- HAAR
- zelf
- jpg
- Koninkrijk
- Land
- later
- laatste
- minst
- rechtmatig
- als
- inloggen
- Het verlagen van
- gemaakt
- maken
- kwaadaardig
- malware
- beheerd
- mechanismen
- Mobile
- Applicatie voor de mobiele telefoon
- mobiele apps
- Grensverkeer
- maanden
- meest
- veel
- meervoudig
- Noodzaak
- behoeften
- New
- geen
- bekend
- niets
- November
- vele
- of
- officieel
- vaak
- on
- eens
- EEN
- lopend
- Slechts
- naar
- operator
- exploitanten
- or
- Overige
- over
- pakket
- permissies
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- Play Store
- potentieel
- mogelijk
- vorig
- die eerder
- processen
- vruchtbaar
- tarief
- Tarieven
- bereiken
- Lezer
- real-time
- reden
- ontvangen
- recent
- regio
- relatief
- los
- vanop
- verslag
- Republiek
- vereisen
- begrensd
- beperkingen
- s
- Zei
- scant
- veiligheid
- server
- service
- settings
- verscheidene
- aanzienlijke
- Signs
- sinds
- Slovenië
- sluipen
- So
- special
- speciale behoeften
- Gesponsorde
- shop
- winkels
- geslaagd
- dergelijk
- stel
- verdacht
- system
- Nemen
- doelgerichte
- targeting
- doelen
- dat
- De
- hun
- Ze
- harte
- Er.
- Deze
- ze
- dit
- deze week
- die
- bedreiging
- bedreigingsactoren
- keer
- naar
- top
- Totaal
- Trojaans
- proberen
- type dan:
- ontvouwen
- United
- United Kingdom
- bijwerken
- geüpload
- URL
- us
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- verkoper
- via
- slachtoffers
- kijkers
- Wave
- golven
- week
- Wat
- wanneer
- welke
- en
- Met
- jaar
- zephyrnet