Nevarni akter uporablja zlonamerne programske opreme, prikrite kot zakonite mobilne aplikacije v Googlovi trgovini Play, da uporabnikom Androida v več evropskih državah distribuira nevarnega bančnega trojanca, imenovanega »Anatsa«.
Kampanja poteka že vsaj štiri mesece in je najnovejša salva upravljavcev zlonamerne programske opreme, ki se je prvič pojavila leta 2020 in je že imela žrtve v ZDA, Italiji, Združenem kraljestvu, Franciji, Nemčiji in drugih državah.
Visoka stopnja okužb
Raziskovalci iz ThreatFabric spremljajo Anatso od njenega prvega odkritja in opazijo nov val napadov, ki se je začel novembra 2023. V poročilu ta teden, prodajalec odkrivanja goljufij je opisal napade, kot da se odvijajo v več različnih valovih, ki ciljajo na stranke bank na Slovaškem, v Sloveniji in Češki republiki.
Doslej so uporabniki Androida v ciljnih regijah od novembra vsaj 100,000-krat prenesli dropperje za zlonamerno programsko opremo iz Googlove trgovine Play. V prejšnji kampanji v prvi polovici leta 2023, ki ji je ThreatFabric sledil, so akterji groženj zbrali več kot 130,000 namestitev svojih oboroženih kapalk za Anatso iz Googlove trgovine z mobilnimi aplikacijami.
ThreatFabric je razmeroma visoke stopnje okužbe pripisal večstopenjskemu pristopu, ki ga dropperji v Googlu Play uporabljajo za dostavo Anatse v napravah Android. Ko se dropperji prvotno naložijo v Play, na njih ni ničesar, kar bi kazalo na zlonamerno vedenje. Šele potem, ko pristanejo na Playu, padalci dinamično pridobijo kodo za izvajanje zlonamernih dejanj iz oddaljenega strežnika za ukaze in nadzor (C2).
Eden od dropperjev, preoblečen v čistejšo aplikacijo, je trdil, da zahteva dovoljenja za Androidovo funkcijo Accessibility Service iz, kar se je zdelo legitimen razlog. Androidova storitev Accessibility Service je posebna vrsta funkcije, ki je zasnovana tako, da uporabnikom s posebnimi potrebami olajša interakcijo z aplikacijami za Android. Akterji groženj so to funkcijo pogosto izrabljali za avtomatizacijo namestitve koristnega tovora v napravah Android in odpravo potrebe po kakršni koli interakciji uporabnika med postopkom.
Večstopenjski pristop
"Na začetku se je aplikacija [cleaner] zdela neškodljiva, brez zlonamerne kode in njena storitev AccessibilityService ni sodelovala pri nobenih škodljivih dejavnostih," je dejal ThreatFabric. »Vendar je teden dni po izdaji posodobitev uvedla zlonamerno kodo. Ta posodobitev je spremenila funkcionalnost AccessibilityService in ji omogočila izvajanje zlonamernih dejanj, kot je samodejno klikanje gumbov, ko je prejela konfiguracijo s strežnika C2,« je opozoril prodajalec.
Datoteke, ki jih je dropper dinamično pridobil s strežnika C2, so vključevale informacije o konfiguraciji za zlonamerno datoteko DEX za distribucijo kode aplikacije Android; sama datoteka DEX z zlonamerno kodo za namestitev koristnega tovora, konfiguracijo z URL-jem koristnega tovora in končno kodo za prenos in namestitev Anatsa v napravi.
Večstopenjski, dinamično naložen pristop, ki so ga uporabili akterji groženj, je vsakemu od dropperjev, ki so jih uporabili v zadnji kampanji, omogočil, da se izognejo strožjim omejitvam AccessibilityService, ki jih je Google uvedel v Android 13, so sporočili iz Threat Fabric.
Za zadnjo kampanjo se je operater Anatsa odločil uporabiti skupaj pet dropperjev, prikritih kot brezplačne aplikacije za čiščenje naprav, pregledovalnike PDF in aplikacije za branje PDF v Googlu Play. "Te aplikacije pogosto dosežejo Top-3 v kategoriji 'Top New Free', kar poveča njihovo verodostojnost in zmanjša stražo potencialnih žrtev, hkrati pa poveča možnosti za uspešno infiltracijo," ThreatFabric pravi v svojem poročilu. Ko je Anasta nameščena v sistem, lahko ukrade poverilnice in druge informacije, ki akterju grožnje omogočajo, da prevzame napravo in se kasneje prijavi v bančni račun uporabnika ter z njega ukrade sredstva.
Tako kot Apple je tudi Google v zadnjih letih uvedel številne varnostne mehanizme povzročiteljem groženj otežijo prikrivanje zlonamernih aplikacij v naprave Android prek svoje uradne trgovine z mobilnimi aplikacijami. Eden najpomembnejših med njimi je Zaščita Google Play, vgrajena funkcija Android, ki v realnem času pregleduje namestitve aplikacij za znake morebitnega zlonamernega ali škodljivega vedenja, nato pa opozori ali onemogoči aplikacijo, če najde kar koli sumljivega. Funkcija omejenih nastavitev Androida je prav tako močno otežila akterjem groženj, da poskušajo okužiti naprave Android prek stransko naloženih aplikacij – ali aplikacij iz neuradnih trgovin z aplikacijami.
Kljub temu je akterjem groženj uspelo nadaljevati pretihotapiti zlonamerno programsko opremo v naprave Android prek Playa z zlorabo funkcij, kot je Androidova AccessibilityService, ali z uporabo večstopenjskih procesov okužbe in z uporabo namestitvenih programov, ki posnemajo tiste v Trgovini Play, za stransko nalaganje zlonamernih aplikacij, pravi ThreatFabric.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :ima
- : je
- :ne
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- O meni
- dostopnost
- Račun
- Nakopičeno
- dejavnosti
- dejavnosti
- akterji
- po
- Opozorila
- omogočajo
- dovoljene
- Prav tako
- spremenila
- med
- an
- in
- Android
- Android 13
- kaj
- karkoli
- aplikacija
- app store
- pojavil
- Apple
- uporaba
- aplikacije
- pristop
- aplikacije
- AS
- At
- Napadi
- avtomatizirati
- samodejno
- Banka
- Bančni račun
- Bančništvo
- Banke
- BE
- bilo
- Začetek
- vedenje
- vgrajeno
- by
- Akcija
- CAN
- Kategorija
- kvote
- izbral
- zaobiti
- trdil,
- čistilec
- Koda
- konfiguracija
- naprej
- nadzor
- države
- Mandatno
- verodostojnost
- Stranke, ki so
- Češka
- Nevarno
- poda
- opisano
- zasnovan
- Odkrivanje
- naprava
- naprave
- Dex
- invalidnosti
- Odkritje
- izrazit
- distribuirati
- distribucijo
- nalaganje
- poimenovan
- med
- dinamično
- vsak
- lažje
- odpravo
- omogočanje
- angažiran
- izboljšanje
- Evropa
- Evropski
- Evropskih državah
- izvršiti
- izvršitve
- Exploited
- tkanina
- daleč
- Feature
- Lastnosti
- file
- datoteke
- končno
- najdbe
- prva
- pet
- za
- štiri
- Francija
- goljufija
- odkrivanje goljufij
- brezplačno
- pogosto
- iz
- funkcionalnost
- Skladi
- Nemčija
- dobili
- Google Play
- Guard
- Pol
- težje
- škodljiva
- Imajo
- visoka
- Vendar
- HTML
- HTTPS
- if
- izvajali
- in
- vključeno
- narašča
- okužbe
- info
- Podatki
- začetna
- na začetku
- namestitev
- nameščen
- Namestitev
- interakcijo
- interakcije
- v
- Uvedeno
- IT
- Italija
- ITS
- sam
- jpg
- Kraljestvo
- Država
- pozneje
- Zadnji
- vsaj
- legitimno
- kot
- prijavi
- Spuščanje
- je
- Znamka
- zlonamerno
- zlonamerna programska oprema
- upravlja
- Mehanizmi
- Mobilni
- mobilna aplikacija
- mobile-aplikacije
- spremljanje
- mesecev
- Najbolj
- veliko
- več
- Nimate
- potrebe
- Novo
- št
- opozoriti
- nič
- november
- številne
- of
- Uradni
- pogosto
- on
- enkrat
- ONE
- v teku
- samo
- na
- operater
- operaterji
- or
- Ostalo
- več
- paket
- Dovoljenja
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Predvajaj
- Trgovini play
- potencial
- potencialno
- prejšnja
- prej
- Postopek
- Procesi
- plodovit
- Oceniti
- Cene
- dosežejo
- Bralec
- v realnem času
- Razlog
- prejetih
- nedavno
- regije
- relativno
- sprostitev
- daljinsko
- poročilo
- Republika
- zahteva
- omejeno
- Omejitve
- s
- Je dejal
- skenira
- varnost
- strežnik
- Storitev
- nastavitve
- več
- pomemben
- Znaki
- saj
- Slovenija
- skrivaj
- So
- posebna
- posebne potrebe
- Sponzorirane
- trgovina
- trgovine
- uspešno
- taka
- predlagajte
- sumljiv
- sistem
- Bodite
- ciljno
- ciljanje
- Cilji
- da
- O
- njihove
- Njih
- POTEM
- Tukaj.
- te
- jih
- ta
- ta teden
- tisti,
- Grožnja
- akterji groženj
- krat
- do
- vrh
- Skupaj za plačilo
- Trojan
- poskusite
- tip
- odvijanje
- Velika
- Anglija
- Nadgradnja
- naložili
- URL
- us
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- Prodajalec
- preko
- žrtve
- gledalcev
- Wave
- valovi
- teden
- Kaj
- kdaj
- ki
- medtem
- z
- let
- zefirnet