Злоумышленник использует программы-дропы, замаскированные под законные мобильные приложения, в магазине Google Play, чтобы распространять опасный банковский троян, получивший название Anatsa, среди пользователей Android в нескольких европейских странах.
Кампания продолжается уже как минимум четыре месяца и является последней атакой со стороны операторов вредоносного ПО, которое впервые появилось в 2020 году и ранее уже имело жертвы в США, Италии, Великобритании, Франции, Германии и других странах.
Высокий уровень инфекций
Исследователи из ThreatFabric следили за Anatsa с момента ее первого обнаружения и заметили новую волну атак, начавшуюся в ноябре 2023 года. В отчете на этой неделе Поставщик средств обнаружения мошенничества описал, что атаки разворачиваются в виде нескольких отдельных волн, нацеленных на клиентов банков в Словакии, Словении и Чехии.
На данный момент с ноября пользователи Android в целевых регионах загрузили программы-дропы для вредоносного ПО из магазина Google Play не менее 100,000 2023 раз. В ходе предыдущей кампании в первой половине 130,000 года, которую отслеживала ThreatFabric, злоумышленники накопили более XNUMX XNUMX установок своих боевых дропперов для Anatsa из магазина мобильных приложений Google.
ThreatFabric объясняет относительно высокий уровень заражения многоэтапным подходом, который используют дропперы в Google Play для доставки Anatsa на устройства Android. Когда дропперы изначально загружаются в Play, в них нет ничего, что могло бы указывать на вредоносное поведение. Только после того, как они попадают в Play, дропперы динамически получают код для выполнения вредоносных действий с удаленного сервера управления и контроля (C2).
Один из дропперов, замаскированный под более чистое приложение, заявил, что требует разрешения для функции службы специальных возможностей Android по вполне законной причине. Служба специальных возможностей Android — это особый тип функции, призванный облегчить пользователям с ограниченными возможностями и особыми потребностями взаимодействие с приложениями Android. Злоумышленники часто использовали эту функцию для автоматизации установки полезной нагрузки на устройства Android и устранения необходимости какого-либо взаимодействия с пользователем во время этого процесса.
Многоэтапный подход
«Изначально приложение [очиститель] казалось безвредным, в нем не было вредоносного кода, а его служба AccessibilityService не участвовала в каких-либо вредоносных действиях», — заявили в ThreatFabric. «Однако через неделю после выпуска в обновлении появился вредоносный код. Это обновление изменило функциональность AccessibilityService, позволив ему выполнять вредоносные действия, такие как автоматическое нажатие кнопок после получения конфигурации от сервера C2», — отметил поставщик.
Файлы, которые дроппер динамически получал с сервера C2, включали информацию о конфигурации вредоносного файла DEX для распространения кода приложения Android; сам файл DEX с вредоносным кодом для установки полезной нагрузки, конфигурацией с URL-адресом полезной нагрузки и, наконец, кодом для загрузки и установки Anatsa на устройство.
По словам Threat Fabric, многоэтапный, динамически загружаемый подход, используемый злоумышленниками, позволил каждому из дропперов, которые они использовали в последней кампании, обойти более жесткие ограничения AccessibilityService, которые Google реализовал в Android 13.
Для последней кампании оператор Anatsa решил использовать в общей сложности пять дропперов, замаскированных под бесплатные приложения для очистки устройств, программы для просмотра PDF-файлов и приложения для чтения PDF-файлов в Google Play. «Эти приложения часто попадают в топ-3 в категории «Лучшие новые бесплатные», повышая к ним доверие и снижая защиту потенциальных жертв, одновременно увеличивая шансы на успешное проникновение», — говорится в отчете ThreatFabric. После установки в системе Anasta может украсть учетные данные и другую информацию, которая позволит злоумышленнику захватить управление устройством, а затем войти в банковский счет пользователя и украсть с него средства.
Как и Apple, Google в последние годы внедрила множество механизмов безопасности, чтобы усложнить злоумышленникам возможность кражи вредоносных приложений на устройства Android через официальный магазин мобильных приложений. Одним из наиболее значительных среди них является Защита от Google Play, встроенная функция Android, которая сканирует установки приложений в режиме реального времени на наличие признаков потенциально вредоносного или вредоносного поведения, а затем предупреждает или отключает приложение, если оно обнаруживает что-либо подозрительное. Функция ограниченных настроек Android также значительно усложнила злоумышленникам попытку заражения устройств Android с помощью загруженных неопубликованных приложений или приложений из неофициальных магазинов приложений.
Несмотря на это, субъектам угроз удалось продолжать проникнуть вредоносное ПО на устройства Android через Play, злоупотребляя такими функциями, как AccessibilityService Android, или используя многоэтапные процессы заражения и используя установщики пакетов, имитирующие те, что находятся в магазине Play, для загрузки вредоносных приложений, сообщает ThreatFabric.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :имеет
- :является
- :нет
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- О нас
- доступность
- Учетная запись
- накопленный
- действия
- активно
- актеры
- После
- Оповещения
- позволять
- разрешено
- причислены
- изменен
- среди
- an
- и
- android
- Android 13
- любой
- все
- приложение
- магазин приложений
- появившийся
- Apple
- Применение
- Приложения
- подхода
- Программы
- AS
- At
- нападки
- автоматизировать
- автоматически
- Банка
- счет в банке
- Банковское дело
- Банки
- BE
- было
- начало
- поведение
- встроенный
- by
- Кампания
- CAN
- Категории
- шансы
- выбрал
- обойти
- заявил
- очиститель
- код
- Конфигурация
- продолжать
- контроль
- страны
- Полномочия
- Доверие
- Клиенты
- Чешская Республика
- опасно
- доставить
- описано
- предназначенный
- обнаружение
- устройство
- Устройства
- Dex
- инвалидам
- открытие
- отчетливый
- распространять
- распределительный
- загрузка
- дублированный
- в течение
- динамично
- каждый
- легче
- ликвидировать
- позволяет
- привлечение
- повышение
- Европе
- Европейская кухня
- европейские страны
- выполнять
- проведение
- Эксплуатируемый
- ткань
- далеко
- Особенность
- Особенности
- Файл
- Файлы
- в заключение
- находит
- Во-первых,
- 5
- Что касается
- 4
- Франция
- мошенничество
- обнаружение мошенничества
- Бесплатно
- часто
- от
- функциональность
- средства
- Germany
- получить
- Гугл игры
- Охрана
- Половина
- Сильнее
- вредный
- Есть
- High
- Однако
- HTML
- HTTPS
- if
- в XNUMX году
- in
- включены
- повышение
- инфекции
- info
- информация
- начальный
- первоначально
- установка
- установлен
- Установка
- взаимодействовать
- взаимодействие
- в
- выпустили
- IT
- Италии
- ЕГО
- саму трезвость
- JPG
- Королевство
- Земля
- новее
- последний
- наименее
- законный
- такое как
- журнал
- Снижение
- сделанный
- сделать
- злонамеренный
- вредоносных программ
- управляемого
- механизмы
- Мобильный телефон
- Мобильное приложение
- мобильные приложения-
- Мониторинг
- месяцев
- самых
- много
- с разными
- Необходимость
- потребности
- Новые
- нет
- отметил,
- ничего
- Ноябрь
- многочисленный
- of
- Официальный представитель в Грузии
- .
- on
- консолидировать
- ONE
- постоянный
- только
- на
- оператор
- Операторы
- or
- Другое
- за
- пакет
- Разрешения
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- Play Маркет
- потенциал
- потенциально
- предыдущий
- предварительно
- процесс
- Процессы
- плодовитый
- Обменный курс
- Стоимость
- достигать
- читатель
- реального времени
- причина
- получила
- последний
- районы
- относительно
- освободить
- удаленные
- отчету
- Республика
- требовать
- ограниченный
- Ограничения
- s
- Сказал
- сканирует
- безопасность
- сервер
- обслуживание
- настройки
- несколько
- значительный
- Признаки
- с
- Словения
- стащить
- So
- особый
- особые потребности
- Спонсоров
- магазин
- магазины
- успешный
- такие
- предлагать
- подозрительный
- система
- взять
- целевое
- направлены
- направлена против
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- Эти
- они
- этой
- На этой неделе
- те
- угроза
- актеры угрозы
- раз
- в
- топ
- Всего
- троянец
- стараться
- напишите
- разворачивание
- Объединенный
- Великобритания
- Обновление ПО
- загружено
- URL
- us
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- продавец
- с помощью
- жертвы
- просмотров
- Wave
- волны
- неделя
- Что
- когда
- который
- в то время как
- лет
- зефирнет