Un actor de amenințări folosește droppers de malware deghizat în aplicații mobile legitime pe magazinul Google Play pentru a distribui utilizatorilor de Android din mai multe țări europene un troian bancar periculos, numit „Anatsa”.
Campania este în desfășurare de cel puțin patru luni și este cea mai recentă salvă de la operatorii malware-ului, care a apărut pentru prima dată în 2020 și a înregistrat anterior victime în SUA, Italia, Regatul Unit, Franța, Germania și alte țări.
Rata prolifică a infecțiilor
Cercetătorii de la ThreatFabric au monitorizat Anatsa încă de la descoperirea sa inițială și au observat noul val de atacuri începând din noiembrie 2023. Într-un raport din această săptămână, Furnizorul de detectare a fraudei a descris atacurile ca fiind desfășurate în mai multe valuri distincte care vizează clienții băncilor din Slovacia, Slovenia și Republica Cehă.
Până acum, utilizatorii de Android din regiunile vizate au descărcat droppers pentru malware din magazinul Google Play de cel puțin 100,000 de ori din noiembrie. Într-o campanie anterioară din prima jumătate a anului 2023 pe care ThreatFabric a urmărit-o, actorii amenințărilor au acumulat peste 130,000 de instalări ale picurătoarelor sale armate pentru Anatsa din magazinul de aplicații mobile al Google.
ThreatFabric a atribuit ratele relativ ridicate de infecție abordării în mai multe etape pe care picuratoarele de pe Google Play o folosesc pentru a livra Anatsa pe dispozitivele Android. Când dropper-urile sunt încărcate inițial în Play, nu există nimic despre ele care să sugereze un comportament rău intenționat. Doar după ce ajung pe Play, dropperurile preiau în mod dinamic codul pentru executarea acțiunilor rău intenționate de pe un server de comandă și control de la distanță (C2).
Unul dintre picuratori, deghizat într-o aplicație mai curată, a susținut că necesită permisiuni pentru funcția Serviciului de accesibilitate a Android din ceea ce părea a fi un motiv legitim. Serviciul de accesibilitate Android este un tip special de caracteristică conceput pentru a facilita interacțiunea cu aplicațiile Android pentru utilizatorii cu dizabilități și nevoi speciale. Actorii amenințărilor au exploatat frecvent funcția pentru a automatiza instalarea sarcinii utile pe dispozitivele Android și pentru a elimina necesitatea oricărei interacțiuni a utilizatorului în timpul procesului.
Abordare în mai multe etape
„Inițial, aplicația [mai curățată] părea inofensivă, fără cod rău intenționat și AccessibilityService care nu se implica în activități dăunătoare”, a spus ThreatFabric. „Cu toate acestea, la o săptămână după lansare, o actualizare a introdus cod rău intenționat. Această actualizare a modificat funcționalitatea AccessibilityService, permițându-i să execute acțiuni rău intenționate, cum ar fi clicurile automate pe butoane odată ce a primit o configurație de la serverul C2”, a menționat furnizorul.
Fișierele pe care dropperul le-a preluat dinamic de pe serverul C2 includeau informații de configurare pentru un fișier DEX rău intenționat pentru distribuirea codului aplicației Android; un fișier DEX în sine cu cod rău intenționat pentru instalarea încărcăturii utile, configurare cu o adresă URL a încărcăturii utile și, în final, cod pentru descărcarea și instalarea Anatsa pe dispozitiv.
Abordarea în mai multe etape, cu încărcare dinamică, folosită de actorii amenințărilor a permis fiecăruia dintre droppers pe care l-au folosit în cea mai recentă campanie să ocolească restricțiile mai stricte AccessibilityService pe care Google le-a implementat în Android 13, a spus Threat Fabric.
Pentru cea mai recentă campanie, operatorul Anatsa a ales să folosească un total de cinci droppers deghizate în aplicații gratuite pentru curățarea dispozitivelor, vizualizatoare PDF și aplicații de citire PDF pe Google Play. „Aceste aplicații ajung adesea în Top-3 în categoria „Top New Free”, sporindu-și credibilitatea și coborând garda potențialelor victime, crescând în același timp șansele de infiltrare de succes”, a spus ThreatFabric în raportul său. Odată instalat pe un sistem, Anasta poate fura acreditările și alte informații care permit actorului amenințării să preia dispozitivul și ulterior să se conecteze la contul bancar al utilizatorului și să fure fonduri din acesta.
La fel ca Apple, Google a implementat numeroase mecanisme de securitate în ultimii ani face mai greu pentru actorii amenințărilor să furișeze aplicații rău intenționate pe dispozitivele Android prin intermediul magazinului său oficial de aplicații mobile. Una dintre cele mai semnificative dintre ele este Protejați Google Play, o funcție Android încorporată care scanează instalările aplicațiilor în timp real pentru semne de comportament potențial rău intenționat sau dăunător, apoi alertează sau dezactivează aplicația dacă găsește ceva suspect. Funcția de setări restricționate a Android a făcut, de asemenea, mult mai greu pentru actorii amenințărilor să încerce să infecteze dispozitivele Android prin aplicații sideloaded - sau aplicații din magazinele neoficiale de aplicații.
Chiar și așa, actorii amenințărilor au reușit să continue introduceți malware pe dispozitivele Android prin Play, abuzând de funcții precum AccessibilityService de la Android sau utilizând procese de infecție în mai multe etape și folosind instalatoare de pachete care le imită pe cele din magazinul Play pentru a încărca aplicații rău intenționate, a spus ThreatFabric.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :are
- :este
- :nu
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Despre Noi
- accesibilitate
- Cont
- acumulate
- acțiuni
- activităţi de
- actori
- După
- Alerte
- permite
- permis
- de asemenea
- modificate
- printre
- an
- și
- Android
- Android 13
- Orice
- nimic
- aplicaţia
- App Store
- a apărut
- Apple
- aplicație
- aplicatii
- abordare
- Apps
- AS
- At
- Atacuri
- automatizarea
- în mod automat
- Bancă
- cont bancar
- Bancar
- Băncile
- BE
- fost
- Început
- comportament
- construit-in
- by
- Campanie
- CAN
- Categorii
- șansele
- a ales
- ocoli
- revendicat
- curat
- cod
- Configuraţie
- continua
- Control
- țări
- scrisori de acreditare
- Credibilitate
- clienţii care
- Republica Cehă
- Periculos
- livra
- descris
- proiectat
- Detectare
- dispozitiv
- Dispozitive
- Dex
- dizabilități
- descoperire
- distinct
- distribui
- distribuire
- descărcarea
- numit
- în timpul
- dinamic
- fiecare
- mai ușor
- elimina
- permițând
- captivant
- consolidarea
- Europa
- european
- Tari europene
- a executa
- executând
- exploatat
- țesătură
- departe
- Caracteristică
- DESCRIERE
- Fișier
- Fişiere
- În cele din urmă
- descoperiri
- First
- cinci
- Pentru
- patru
- Franţa
- fraudă
- detectarea fraudei
- Gratuit
- frecvent
- din
- funcționalitate
- Fondurile
- Germania
- obține
- Google Play,
- Pază
- Jumătate
- Mai tare
- nociv
- Avea
- Înalt
- Totuși
- HTML
- HTTPS
- if
- implementat
- in
- inclus
- crescând
- infecţii
- info
- informații
- inițială
- inițial
- instalare
- instalat
- Instalarea
- interacţiona
- interacţiune
- în
- introdus
- IT
- Italia
- ESTE
- în sine
- jpg
- regat
- Țară
- mai tarziu
- Ultimele
- cel mai puțin
- legitim
- ca
- log
- coborârea
- făcut
- face
- rău
- malware
- gestionate
- mecanisme
- Mobil
- Aplicatie mobila
- mobile-aplicații
- Monitorizarea
- luni
- cele mai multe
- mult
- multiplu
- Nevoie
- nevoilor
- Nou
- Nu.
- notat
- nimic
- noiembrie
- numeroși
- of
- oficial
- de multe ori
- on
- dată
- ONE
- în curs de desfășurare
- afară
- pe
- operator
- Operatorii
- or
- Altele
- peste
- pachet
- permisiuni
- Plato
- Informații despre date Platon
- PlatoData
- Joaca
- Joaca Store
- potenţial
- potenţial
- precedent
- în prealabil
- proces
- procese
- prolific
- rată
- tarife
- ajunge
- Cititor
- în timp real
- motiv
- primit
- recent
- regiuni
- relativ
- eliberaţi
- la distanta
- raportează
- Republică
- necesita
- limitat
- restricții
- s
- Said
- scanări
- securitate
- serverul
- serviciu
- setări
- câteva
- semnificativ
- Semne
- întrucât
- Slovenia
- furişa
- So
- special
- nevoi speciale
- Sponsorizat
- stoca
- magazine
- de succes
- astfel de
- sugera
- suspicios
- sistem
- Lua
- vizate
- direcționare
- obiective
- acea
- lor
- Lor
- apoi
- Acolo.
- Acestea
- ei
- acest
- în această săptămână
- aceste
- amenințare
- actori amenințători
- ori
- la
- top
- Total
- troian
- încerca
- tip
- desfășurare
- Unit
- Regatul Unit
- Actualizează
- încărcat
- URL-ul
- us
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- vânzător
- de
- victime
- spectatori
- Val
- valuri
- săptămână
- Ce
- cand
- care
- în timp ce
- cu
- ani
- zephyrnet