En trusselaktør bruker malware-dropper forkledd som legitime mobilapper i Googles Play-butikk for å distribuere en farlig banktrojaner kalt "Anatsa" til Android-brukere i flere europeiske land.
Kampanjen har pågått i minst fire måneder og er den siste salven fra operatørene av skadevaren, som først dukket opp i 2020 og tidligere har merket ofre i USA, Italia, Storbritannia, Frankrike, Tyskland og andre land.
Produktiv forekomst av infeksjoner
Forskere fra ThreatFabric har overvåket Anatsa siden den første oppdagelsen og oppdaget den nye bølgen av angrep som startet i november 2023. I en rapport denne uken, leverandøren av svindeldeteksjon beskrev angrepene som utspilte seg i flere forskjellige bølger rettet mot kunder fra banker i Slovakia, Slovenia og Tsjekkia.
Så langt har Android-brukere i de målrettede regionene lastet ned droppere for skadelig programvare fra Googles Play-butikk minst 100,000 2023 ganger siden november. I en tidligere kampanje i løpet av første halvdel av 130,000 som ThreatFabric sporet, samlet trusselaktørene over XNUMX XNUMX installasjoner av sine våpenbeskyttede droppere for Anatsa fra Googles mobilappbutikk.
ThreatFabric tilskrev de relativt høye infeksjonsratene til muti-stage-tilnærmingen som dropperne på Google Play bruker for å levere Anatsa på Android-enheter. Når dropperne først blir lastet opp til Play, er det ingenting ved dem som tyder på ondsinnet oppførsel. Det er først etter at de har landet på Play at dropperne dynamisk henter kode for å utføre ondsinnede handlinger fra en ekstern kommando- og kontrollserver (C2).
En av dropperne, forkledd som en renere app, hevdet å kreve tillatelser til Androids Accessibility Service-funksjon av det som så ut til å være en legitim grunn. Androids tilgjengelighetstjeneste er en spesiell type funksjon designet for å gjøre det enklere for brukere med funksjonshemminger og spesielle behov å samhandle med Android-apper. Trusselaktører har ofte utnyttet funksjonen for å automatisere nyttelastinstallasjon på Android-enheter og eliminere behovet for brukerinteraksjon under prosessen.
Flertrinns tilnærming
"Til å begynne med virket [renere] appen harmløs, uten skadelig kode og dens AccessibilityService som ikke engasjerte seg i noen skadelige aktiviteter," sa ThreatFabric. "Men en uke etter utgivelsen introduserte en oppdatering skadelig kode. Denne oppdateringen endret AccessibilityService-funksjonaliteten, slik at den kunne utføre ondsinnede handlinger som automatisk å klikke på knapper når den mottok en konfigurasjon fra C2-serveren," bemerket leverandøren.
Filene som dropperen hentet dynamisk fra C2-serveren inkluderte konfigurasjonsinformasjon for en ondsinnet DEX-fil for distribusjon av Android-applikasjonskode; en DEX-fil i seg selv med ondsinnet kode for installasjon av nyttelast, konfigurasjon med en nyttelast-URL, og til slutt kode for nedlasting og installasjon av Anatsa på enheten.
Den flertrinns dynamiske tilnærmingen som ble brukt av trusselaktørene tillot hver av dropperne som de brukte i den siste kampanjen å omgå de tøffere AccessibilityService-restriksjonene Google implementerte i Android 13, sa Threat Fabric.
For den siste kampanjen valgte operatøren av Anatsa å bruke totalt fem droppere forkledd som gratis apper for enhetsrens, PDF-lesere og PDF-leserapper på Google Play. "Disse applikasjonene når ofte topp-3 i kategorien 'Topp nye gratis', og øker deres troverdighet og senker vaktholdet til potensielle ofre samtidig som det øker sjansene for vellykket infiltrasjon," sa ThreatFabric i sin rapport. Når den er installert på et system, kan Anasta stjele legitimasjon og annen informasjon som gjør at trusselaktøren kan overta enheten og senere logge inn på brukerens bankkonto og stjele midler fra den.
I likhet med Apple har Google implementert en rekke sikkerhetsmekanismer de siste årene gjøre det vanskeligere for trusselaktører å snike ondsinnede apper til Android-enheter via den offisielle mobilappbutikken. En av de mest betydningsfulle blant dem er Google Play Protect, en innebygd Android-funksjon som skanner appinstallasjoner i sanntid for tegn på potensielt ondsinnet eller skadelig atferd, og deretter varsler eller deaktiverer appen hvis den finner noe mistenkelig. Androids funksjon for begrensede innstillinger har også gjort det mye vanskeligere for trusselaktører å prøve å infisere Android-enheter via sidelastede apper – eller apper fra uoffisielle applikasjonsbutikker.
Likevel har trusselaktører klart å fortsette det snike skadelig programvare inn på Android-enheter via Play ved å misbruke funksjoner som Androids AccessibilityService, eller ved å bruke flertrinns infeksjonsprosesser og ved å bruke pakkeinstallasjonsprogrammer som etterligner de på Play Store for å sidelaste ondsinnede apper, sa ThreatFabric.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- : har
- :er
- :ikke
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Om oss
- tilgjengelighet
- Logg inn
- akkumulert
- handlinger
- Aktiviteter
- aktører
- Etter
- Varsler
- tillate
- tillatt
- også
- endret
- blant
- an
- og
- android
- Android 13
- noen
- hva som helst
- app
- app store
- dukket opp
- eple
- Søknad
- søknader
- tilnærming
- apps
- AS
- At
- Angrep
- automatisere
- automatisk
- Bank
- bankkonto
- Banking
- Banker
- BE
- vært
- Begynnelsen
- atferd
- innebygd
- by
- Kampanje
- CAN
- Kategori
- sjansene
- valgte
- omgå
- hevdet
- renere
- kode
- Konfigurasjon
- fortsette
- kontroll
- land
- Credentials
- Troverdighet
- Kunder
- Tsjekkisk Republikk
- Dangerous
- leverer
- beskrevet
- designet
- Gjenkjenning
- enhet
- Enheter
- Dex
- funksjonshemminger
- Funnet
- distinkt
- distribuere
- distribusjon
- Nedlasting
- dubbet
- under
- dynamisk
- hver enkelt
- enklere
- eliminere
- muliggjør
- engasjerende
- styrke
- Europa
- europeisk
- Europeiske land
- henrette
- utførende
- Exploited
- stoff
- langt
- Trekk
- Egenskaper
- filet
- Filer
- Endelig
- funn
- Først
- fem
- Til
- fire
- Frankrike
- svindel
- svindeloppdagelse
- Gratis
- ofte
- fra
- funksjonalitet
- midler
- Tyskland
- få
- Google Play
- Guard
- Halvparten
- hardere
- skadelig
- Ha
- Høy
- Men
- HTML
- HTTPS
- if
- implementert
- in
- inkludert
- økende
- infeksjoner
- info
- informasjon
- innledende
- i utgangspunktet
- installasjon
- installerte
- installere
- samhandle
- interaksjon
- inn
- introdusert
- IT
- Italia
- DET ER
- selv
- jpg
- Kingdom
- Tomt
- seinere
- siste
- minst
- legitim
- i likhet med
- logg
- senking
- laget
- gjøre
- skadelig
- malware
- fikk til
- mekanismer
- Mobil
- Mobilapp
- mobil-apps
- overvåking
- måneder
- mest
- mye
- flere
- Trenger
- behov
- Ny
- Nei.
- bemerket
- ingenting
- November
- mange
- of
- offisiell
- ofte
- on
- gang
- ONE
- pågående
- bare
- videre til
- operatør
- operatører
- or
- Annen
- enn
- pakke
- tillatelser
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- Play-butikken
- potensiell
- potensielt
- forrige
- tidligere
- prosess
- Prosesser
- produktive
- Sats
- priser
- å nå
- Reader
- sanntids
- grunnen til
- mottatt
- nylig
- regioner
- relativt
- slipp
- fjernkontroll
- rapporterer
- Republic
- krever
- begrenset
- restriksjoner
- s
- Sa
- skanner
- sikkerhet
- server
- tjeneste
- innstillinger
- flere
- signifikant
- Skilt
- siden
- Slovenia
- snike
- So
- spesiell
- spesielle behov
- Sponset
- oppbevare
- butikker
- vellykket
- slik
- foreslår
- mistenkelig
- system
- Ta
- målrettet
- rettet mot
- mål
- Det
- De
- deres
- Dem
- deretter
- Der.
- Disse
- de
- denne
- denne uka
- De
- trussel
- trusselaktører
- ganger
- til
- topp
- Totalt
- Trojan
- prøve
- typen
- utfoldelse
- forent
- Storbritannia
- Oppdater
- lastet opp
- URL
- us
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- leverandør
- av
- ofre
- seere
- Wave
- bølger
- uke
- Hva
- når
- hvilken
- mens
- med
- år
- zephyrnet