Um ator de ameaça está usando droppers de malware disfarçados de aplicativos móveis legítimos na Play Store do Google para distribuir um Trojan bancário perigoso chamado “Anatsa” para usuários de Android em vários países europeus.
A campanha está em curso há pelo menos quatro meses e é a última salva dos operadores do malware, que surgiu pela primeira vez em 2020 e já atingiu vítimas nos EUA, Itália, Reino Unido, França, Alemanha e outros países.
Taxa prolífica de infecções
Pesquisadores do ThreatFabric têm monitorado o Anatsa desde sua descoberta inicial e detectaram a nova onda de ataques começando em novembro de 2023. Em um relatório esta semana, o fornecedor de detecção de fraude descreveu os ataques como se desdobrando em múltiplas ondas distintas, visando clientes de bancos na Eslováquia, na Eslovênia e na República Tcheca.
Até agora, os usuários do Android nas regiões-alvo baixaram droppers para o malware da Play Store do Google pelo menos 100,000 vezes desde novembro. Em uma campanha anterior durante o primeiro semestre de 2023 que o ThreatFabric rastreou, os atores da ameaça acumularam mais de 130,000 instalações de seus conta-gotas armados para Anatsa na loja de aplicativos móveis do Google.
O ThreatFabric atribuiu as taxas de infecção relativamente altas à abordagem de múltiplos estágios que os droppers no Google Play usam para entregar Anatsa em dispositivos Android. Quando os droppers são inicialmente carregados no Play, não há nada neles que sugira comportamento malicioso. Somente depois de chegarem ao Play é que os droppers recuperam dinamicamente o código para executar ações maliciosas de um servidor remoto de comando e controle (C2).
Um dos droppers, disfarçado como um aplicativo de limpeza, alegou exigir permissões para o recurso Serviço de Acessibilidade do Android pelo que parecia ser um motivo legítimo. O Serviço de Acessibilidade do Android é um tipo especial de recurso projetado para facilitar a interação de usuários com deficiências e necessidades especiais com aplicativos Android. Os agentes de ameaças frequentemente exploram o recurso para automatizar a instalação de carga útil em dispositivos Android e eliminar a necessidade de qualquer interação do usuário durante o processo.
Abordagem em vários estágios
“Inicialmente, o aplicativo [mais limpo] parecia inofensivo, sem código malicioso e seu AccessibilityService não estava envolvido em nenhuma atividade prejudicial”, disse ThreatFabric. “No entanto, uma semana após seu lançamento, uma atualização introduziu código malicioso. Esta atualização alterou a funcionalidade do AccessibilityService, permitindo-lhe executar ações maliciosas, como clicar automaticamente em botões ao receber uma configuração do servidor C2”, observou o fornecedor.
Os arquivos que o dropper recuperou dinamicamente do servidor C2 incluíam informações de configuração de um arquivo DEX malicioso para distribuição de código de aplicativo Android; um arquivo DEX com código malicioso para instalação de carga útil, configuração com uma URL de carga útil e, finalmente, código para baixar e instalar o Anatsa no dispositivo.
A abordagem de vários estágios e carregada dinamicamente usada pelos atores da ameaça permitiu que cada um dos droppers usados na campanha mais recente contornasse as restrições mais rígidas do AccessibilityService que o Google implementou no Android 13, disse o Threat Fabric.
Para a campanha mais recente, a operadora da Anatsa optou por usar um total de cinco conta-gotas disfarçados de aplicativos gratuitos de limpeza de dispositivos, visualizadores de PDF e aplicativos leitores de PDF no Google Play. “Esses aplicativos geralmente alcançam o Top 3 na categoria 'Top New Free', aumentando sua credibilidade e baixando a guarda de vítimas em potencial, ao mesmo tempo em que aumentam as chances de infiltração bem-sucedida”, disse ThreatFabric em seu relatório. Uma vez instalado em um sistema, o Anasta pode roubar credenciais e outras informações que permitem ao agente da ameaça assumir o controle do dispositivo e, posteriormente, fazer login na conta bancária do usuário e roubar fundos dela.
Assim como a Apple, o Google implementou vários mecanismos de segurança nos últimos anos para tornar mais difícil para os agentes de ameaças roubarem aplicativos maliciosos em dispositivos Android por meio de sua loja oficial de aplicativos móveis. Um dos mais significativos entre eles é Google Play Protect, um recurso integrado do Android que verifica as instalações do aplicativo em tempo real em busca de sinais de comportamento potencialmente malicioso ou prejudicial e, em seguida, alerta ou desativa o aplicativo se encontrar algo suspeito. O recurso de configurações restritas do Android também tornou muito mais difícil para os agentes de ameaças tentarem infectar dispositivos Android por meio de aplicativos carregados de sidel – ou aplicativos de lojas de aplicativos não oficiais.
Mesmo assim, os agentes de ameaças conseguiram continuar a infiltrar malware em dispositivos Android via Play, abusando de recursos como o AccessibilityService do Android, ou usando processos de infecção em vários estágios e usando instaladores de pacotes que imitam os da Play Store para carregar aplicativos maliciosos, disse ThreatFabric.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :tem
- :é
- :não
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Sobre
- acessibilidade
- Conta
- Acumulado
- ações
- atividades
- atores
- Depois de
- Alertas
- permitir
- permitidas
- tb
- alteradas
- entre
- an
- e
- andróide
- 13 Android
- qualquer
- nada
- app
- loja de aplicativos
- apareceu
- Apple
- Aplicação
- aplicações
- abordagem
- Aplicativos
- AS
- At
- Ataques
- automatizar
- automaticamente
- Bank
- conta bancária
- Bancário
- bancos
- BE
- sido
- Começo
- comportamento
- construídas em
- by
- Campanha
- CAN
- Categoria
- chances
- escolheu
- contornar
- afirmou
- limpador
- código
- Configuração
- continuar
- ao controle
- países
- Credenciais
- Credibilidade
- Clientes
- República Checa
- Perigoso
- entregar
- descrito
- projetado
- Detecção
- dispositivo
- Dispositivos/Instrumentos
- Dex
- deficiência
- descoberta
- distinto
- distribuir
- distribuindo
- descarga
- apelidado
- durante
- dinamicamente
- cada
- mais fácil
- eliminado
- permitindo
- noivando
- aprimorando
- Europa
- Europa
- Países europeus
- executar
- executando
- exploradas
- tecidos
- longe
- Característica
- Funcionalidades
- Envie o
- Arquivos
- Finalmente
- encontra
- Primeiro nome
- cinco
- Escolha
- quatro
- França
- fraude
- detecção de fraude
- Gratuito
- freqüentemente
- da
- funcionalidade
- fundos
- Alemanha
- ter
- Google Play
- Guarda
- Metade
- mais duro
- prejudicial
- Ter
- Alta
- Contudo
- HTML
- HTTPS
- if
- implementado
- in
- incluído
- aumentando
- infecções
- info
- INFORMAÇÕES
- do estado inicial,
- inicialmente
- instalação
- instalado
- instalando
- interagir
- interação
- para dentro
- introduzido
- IT
- Itália
- ESTÁ
- se
- jpg
- Reino
- Terreno
- mais tarde
- mais recente
- mínimo
- legítimo
- como
- log
- Baixa
- moldadas
- fazer
- malicioso
- malwares
- gerenciados
- mecanismos
- Móvel Esteira
- Aplicativo móvel
- aplicativos móveis
- monitoração
- mês
- a maioria
- muito
- múltiplo
- você merece...
- Cria
- Novo
- não
- notado
- nada
- Novembro
- numeroso
- of
- oficial
- frequentemente
- on
- uma vez
- ONE
- contínuo
- só
- para
- operador
- operadores
- or
- Outros
- Acima de
- pacote
- permissões
- platão
- Inteligência de Dados Platão
- PlatãoData
- Jogar
- Play Store
- potencial
- potencialmente
- anterior
- anteriormente
- processo
- processos
- prolífico
- Taxa
- Preços
- alcançar
- Leitor
- em tempo real
- razão
- recebido
- recentemente
- regiões
- relativamente
- liberar
- remoto
- Denunciar
- República
- requerer
- restringido
- restrições
- s
- Dito
- digitaliza
- segurança
- servidor
- serviço
- Configurações
- vários
- periodo
- Sinais
- desde
- Eslovênia
- esgueirar-se
- So
- especial
- necessidades especiais
- Patrocinado
- loja
- lojas
- bem sucedido
- tal
- sugerir
- suspeito
- .
- Tire
- visadas
- alvejando
- tem como alvo
- que
- A
- deles
- Eles
- então
- Lá.
- Este
- deles
- isto
- esta semana
- aqueles
- ameaça
- atores de ameaças
- vezes
- para
- topo
- Total
- troiano
- tentar
- tipo
- desdobramento
- Unido
- Reino Unido
- Atualizar
- carregado
- URL
- us
- usar
- usava
- Utilizador
- usuários
- utilização
- fornecedor
- via
- vítimas
- VISITANTES
- Onda
- ondas
- semana
- O Quê
- quando
- qual
- enquanto
- de
- anos
- zefirnet