Osoba zagrażająca używa w sklepie Google Play dropperów złośliwego oprogramowania podszywających się pod legalne aplikacje mobilne, aby dystrybuować niebezpiecznego trojana bankowego o nazwie „Anatsa” wśród użytkowników Androida w kilku krajach europejskich.
Kampania trwa od co najmniej czterech miesięcy i stanowi najnowszą salwę operatorów szkodliwego oprogramowania, które pojawiło się po raz pierwszy w 2020 r. i wcześniej dosięgło ofiar w USA, Włoszech, Wielkiej Brytanii, Francji, Niemczech i innych krajach.
Wysoki wskaźnik infekcji
Badacze z ThreatFabric monitorują Anatsę od czasu jej pierwszego odkrycia i zauważyli nową falę ataków, która rozpoczęła się w listopadzie 2023 r. W raporcie z tego tygodnia dostawca rozwiązań do wykrywania oszustw opisał ataki składające się z wielu odrębnych fal, których celem byli klienci banków na Słowacji, Słowenii i w Czechach.
Do tej pory od listopada użytkownicy Androida w wybranych regionach pobrali droppery szkodliwego oprogramowania ze sklepu Google Play co najmniej 100,000 2023 razy. W poprzedniej kampanii prowadzonej w pierwszej połowie 130,000 r., monitorowanej przez ThreatFabric, ugrupowania zagrażające zgromadziły ponad XNUMX XNUMX instalacji uzbrojonych dropperów dla Anatsy ze sklepu z aplikacjami mobilnymi Google.
ThreatFabric przypisuje stosunkowo wysokie wskaźniki infekcji wieloetapowemu podejściu stosowanemu przez droppery w Google Play do dostarczania Anatsa na urządzenia z Androidem. Kiedy droppery są początkowo przesyłane do Play, nie ma w nich nic, co sugerowałoby złośliwe zachowanie. Dopiero po wylądowaniu w Play droppery dynamicznie pobierają kod umożliwiający wykonanie złośliwych działań ze zdalnego serwera dowodzenia i kontroli (C2).
Jeden z dropperów, podszywający się pod czystszą aplikację, twierdził, że wymaga uprawnień do funkcji usługi ułatwień dostępu w Androidzie z czegoś, co wydawało się uzasadnione. Usługa ułatwień dostępu w systemie Android to specjalny rodzaj funkcji zaprojektowany, aby ułatwić użytkownikom niepełnosprawnym i o specjalnych potrzebach interakcję z aplikacjami na Androida. Przestępcy często wykorzystywali tę funkcję do automatyzacji instalacji ładunku na urządzeniach z systemem Android i eliminowania potrzeby jakiejkolwiek interakcji użytkownika w trakcie tego procesu.
Podejście wieloetapowe
„Początkowo aplikacja [cleaner] wydawała się nieszkodliwa, nie zawierała złośliwego kodu, a jej usługa Accessibility Service nie angażowała się w żadne szkodliwe działania” – stwierdził ThreatFabric. „Jednak tydzień po wydaniu aktualizacja wprowadziła złośliwy kod. Ta aktualizacja zmieniła funkcjonalność AccessibilityService, umożliwiając jej wykonywanie złośliwych działań, takich jak automatyczne klikanie przycisków po otrzymaniu konfiguracji z serwera C2” – zauważył sprzedawca.
Pliki, które dropper pobierał dynamicznie z serwera C2, zawierały informacje konfiguracyjne dla złośliwego pliku DEX służącego do dystrybucji kodu aplikacji na Androida; sam plik DEX ze złośliwym kodem do instalacji ładunku, konfiguracją za pomocą adresu URL ładunku i na koniec kodem do pobrania i zainstalowania Anatsy na urządzeniu.
Threat Fabric twierdzi, że wieloetapowe, dynamicznie ładowane podejście stosowane przez cyberprzestępców pozwoliło każdemu z dropperów użytych w najnowszej kampanii ominąć bardziej rygorystyczne ograniczenia usługi AccessibilityService, które Google wdrożyło w systemie Android 13.
W najnowszej kampanii operator Anatsa zdecydował się użyć łącznie pięciu dropperów podszywających się pod bezpłatne aplikacje do czyszczenia urządzeń, przeglądarki plików PDF i aplikacje do odczytu plików PDF w Google Play. „Aplikacje te często trafiają do pierwszej trójki w kategorii „Najlepsze nowe bezpłatne”, zwiększając ich wiarygodność i zmniejszając ochronę potencjalnych ofiar, jednocześnie zwiększając szanse na skuteczną infiltrację” – stwierdził ThreatFabric w swoim raporcie. Po zainstalowaniu w systemie Anasta może ukraść dane uwierzytelniające i inne informacje, które pozwalają cyberprzestępcy przejąć kontrolę nad urządzeniem, a następnie zalogować się na konto bankowe użytkownika i ukraść z niego środki.
Podobnie jak Apple, Google wdrożyło w ostatnich latach liczne mechanizmy bezpieczeństwa utrudniać cyberprzestępcom przemycanie złośliwych aplikacji na urządzenia z systemem Android za pośrednictwem oficjalnego sklepu z aplikacjami mobilnymi. Jednym z najważniejszych z nich jest Google Play Protect, wbudowaną funkcję systemu Android, która skanuje instalacje aplikacji w czasie rzeczywistym pod kątem oznak potencjalnie złośliwego lub szkodliwego zachowania, a następnie ostrzega lub wyłącza aplikację, jeśli znajdzie coś podejrzanego. Funkcja ograniczonych ustawień Androida znacznie utrudnia cyberprzestępcom próby infekowania urządzeń z Androidem za pośrednictwem aplikacji pobranych z boku lub aplikacji z nieoficjalnych sklepów z aplikacjami.
Mimo to podmiotom zagrażającym udało się to kontynuować przemycać złośliwe oprogramowanie na urządzenia z Androidem przez Play, nadużywając takich funkcji jak usługa dostępności systemu Android lub korzystając z wieloetapowych procesów infekcji i korzystając z instalatorów pakietów naśladujących te ze sklepu Play w celu bocznego pobierania złośliwych aplikacji, twierdzi ThreatFabric.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :ma
- :Jest
- :nie
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- O nas
- dostępność
- Konto
- Zgromadzone
- działania
- zajęcia
- aktorzy
- Po
- Alarmy
- dopuszczać
- dozwolony
- również
- zmieniony
- wśród
- an
- i
- android
- Android 13
- każdy
- wszystko
- Aplikacja
- App Store
- pojawił się
- Apple
- Zastosowanie
- aplikacje
- podejście
- mobilne i webowe
- AS
- At
- Ataki
- zautomatyzować
- automatycznie
- Bank
- konto bankowe
- Bankowość
- Banki
- BE
- być
- Początek
- zachowanie
- wbudowany
- by
- Kampania
- CAN
- Kategoria
- duża szansa,
- wybrał
- przechytrzyć
- twierdził,
- odkurzacz
- kod
- systemu
- kontynuować
- kontrola
- kraje
- Listy uwierzytelniające
- Wiarygodność
- Klientów
- Republika Czeska
- Niebezpieczny
- dostarczyć
- opisane
- zaprojektowany
- Wykrywanie
- urządzenie
- urządzenia
- Dex
- niepełnosprawnych
- odkrycie
- odrębny
- rozprowadzać
- rozdzielczy
- ściąganie
- dubbingowane
- podczas
- dynamicznie
- każdy
- łatwiej
- wyeliminować
- umożliwiając
- ujmujący
- wzmocnienie
- Europie
- europejski
- Kraje europejskie
- wykonać
- wykonywania
- eksploatowany
- tkanina
- daleko
- Cecha
- Korzyści
- filet
- Akta
- W końcu
- znajduje
- i terminów, a
- pięć
- W razie zamówieenia projektu
- cztery
- Francja
- oszustwo
- wykrywanie oszustw
- Darmowy
- często
- od
- Funkcjonalność
- fundusze
- Niemcy
- otrzymać
- Google play
- osłona
- Pół
- trudniej
- szkodliwy
- Have
- Wysoki
- Jednak
- HTML
- HTTPS
- if
- realizowane
- in
- włączony
- wzrastający
- Infekcje
- Informacje
- Informacja
- początkowy
- początkowo
- instalacja
- zainstalowany
- Instalacja
- interakcji
- wzajemne oddziaływanie
- najnowszych
- wprowadzono
- IT
- Włochy
- JEGO
- samo
- jpg
- Królestwo
- Kraj
- później
- firmy
- najmniej
- prawowity
- lubić
- log
- Opuszczenie
- zrobiony
- robić
- złośliwy
- malware
- zarządzane
- Mechanizmy
- Aplikacje mobilne
- Aplikacja mobilna
- aplikacje mobilne
- monitorowanie
- miesięcy
- większość
- dużo
- wielokrotność
- Potrzebować
- wymagania
- Nowości
- Nie
- zauważyć
- nic
- listopad
- liczny
- of
- urzędnik
- często
- on
- pewnego razu
- ONE
- trwający
- tylko
- na
- operator
- operatorzy
- or
- Inne
- koniec
- pakiet
- uprawnienia
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- Play Store
- potencjał
- potencjalnie
- poprzedni
- poprzednio
- wygląda tak
- procesów
- płodny
- Kurs
- ceny
- dosięgnąć
- Czytelnik
- w czasie rzeczywistym
- powód
- Odebrane
- niedawny
- regiony
- stosunkowo
- zwolnić
- zdalny
- raport
- Republika
- wymagać
- ograniczony
- Ograniczenia
- s
- Powiedział
- skany
- bezpieczeństwo
- serwer
- usługa
- w panelu ustawień
- kilka
- znaczący
- znaki
- ponieważ
- Słowenia
- poskarżyć
- So
- specjalny
- specjalne potrzeby
- Łącza
- sklep
- sklep
- udany
- taki
- sugerować
- podejrzliwy
- system
- Brać
- ukierunkowane
- kierowania
- cele
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- Te
- one
- to
- w tym tygodniu
- tych
- groźba
- podmioty grożące
- czasy
- do
- Top
- Kwota produktów:
- trojański
- próbować
- rodzaj
- rozkładanie
- Zjednoczony
- Wielka Brytania
- Aktualizacja
- przesłanych
- URL
- us
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- sprzedawca
- przez
- Ofiary
- widzów
- fala
- fale
- tydzień
- Co
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- w
- lat
- zefirnet