En hotaktör använder skadlig programvara förklädda som legitima mobilappar i Googles Play-butik för att distribuera en farlig banktrojan kallad "Anatsa" till Android-användare i flera europeiska länder.
Kampanjen har pågått i minst fyra månader och är den senaste räddningen från operatörerna av den skadliga programvaran, som först dök upp 2020 och som tidigare har noterat offer i USA, Italien, Storbritannien, Frankrike, Tyskland och andra länder.
Produktiv frekvens av infektioner
Forskare från ThreatFabric har övervakat Anatsa sedan dess första upptäckt och upptäckte den nya vågen av attacker som började i november 2023. I en rapport denna vecka, bedrägeriupptäcktsleverantören beskrev attackerna som utspelade sig i flera olika vågor riktade mot kunder hos banker i Slovakien, Slovenien och Tjeckien.
Hittills har Android-användare i de riktade regionerna laddat ner droppar för skadlig programvara från Googles Play-butik minst 100,000 2023 gånger sedan november. I en tidigare kampanj under första halvåret 130,000 som ThreatFabric spårade, samlade hotaktörerna över XNUMX XNUMX installationer av sina beväpnade droppers för Anatsa från Googles mobilappbutik.
ThreatFabric tillskrev de relativt höga infektionsfrekvenserna till den muti-stage metod som dropparna på Google Play använder för att leverera Anatsa på Android-enheter. När dropparna först laddas upp till Play, finns det inget om dem som tyder på skadligt beteende. Det är först efter att de har landat på Play som dropparna dynamiskt hämtar kod för att utföra skadliga åtgärder från en fjärrkommando- och kontrollserver (C2).
En av dropparna, förklädd till en renare app, påstod sig kräva tillstånd till Androids tillgänglighetstjänstfunktion av vad som verkade vara en legitim anledning. Androids tillgänglighetstjänst är en speciell typ av funktion utformad för att göra det lättare för användare med funktionshinder och särskilda behov att interagera med Android-appar. Hotaktörer har ofta utnyttjat funktionen för att automatisera installation av nyttolast på Android-enheter och eliminera behovet av användarinteraktion under processen.
Flerstegsmetod
"Inledningsvis verkade [renare] appen ofarlig, utan skadlig kod och dess AccessibilityService engagerade sig inte i några skadliga aktiviteter," sa ThreatFabric. "Men en vecka efter lanseringen introducerade en uppdatering skadlig kod. Den här uppdateringen ändrade AccessibilityService-funktionaliteten, vilket gjorde det möjligt för den att utföra skadliga åtgärder som att automatiskt klicka på knappar när den fick en konfiguration från C2-servern", noterade leverantören.
Filerna som dropparen dynamiskt hämtade från C2-servern inkluderade konfigurationsinformation för en skadlig DEX-fil för att distribuera Android-programkod; en DEX-fil i sig med skadlig kod för installation av nyttolast, konfiguration med en nyttolast-URL och slutligen kod för nedladdning och installation av Anatsa på enheten.
Det dynamiskt laddade tillvägagångssättet i flera steg som användes av hotaktörerna gjorde det möjligt för var och en av dropparna som de använde i den senaste kampanjen att kringgå de tuffare AccessibilityService-begränsningarna som Google implementerade i Android 13, sa Threat Fabric.
För den senaste kampanjen valde Anatsas operatör att använda totalt fem droppar förklädda som gratis appar för enhetsrenare, PDF-läsare och PDF-läsarappar på Google Play. "Dessa applikationer når ofta topp-3 i kategorin 'Top New Free', vilket ökar deras trovärdighet och sänker skyddet för potentiella offer samtidigt som chanserna för framgångsrik infiltration ökar," sa ThreatFabric i sin rapport. När det väl är installerat på ett system kan Anasta stjäla referenser och annan information som gör att hotaktören kan ta över enheten och senare logga in på användarens bankkonto och stjäla pengar från den.
Liksom Apple har Google implementerat många säkerhetsmekanismer under de senaste åren göra det svårare för hotaktörer att smyga skadliga appar till Android-enheter via dess officiella mobilappbutik. En av de viktigaste bland dem är Google Play Protect, en inbyggd Android-funktion som skannar appinstallationer i realtid efter tecken på potentiellt skadligt eller skadligt beteende, och sedan varnar eller inaktiverar appen om den hittar något misstänkt. Androids funktion för begränsade inställningar har också gjort det mycket svårare för hotaktörer att försöka infektera Android-enheter via sidladdade appar – eller appar från inofficiella appbutiker.
Trots det har hotaktörer lyckats fortsätta smyga in skadlig programvara på Android-enheter via Play genom att missbruka funktioner som Androids AccessibilityService, eller genom att använda flerstegsinfektionsprocesser och genom att använda paketinstallatörer som efterliknar de på Play Store för att sidladda skadliga appar, sa ThreatFabric.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- : har
- :är
- :inte
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Om oss
- tillgänglighet
- Konto
- ackumulerat
- åtgärder
- aktiviteter
- aktörer
- Efter
- Varningar
- tillåter
- tillåts
- också
- förändrad
- bland
- an
- och
- android
- Android 13
- vilken som helst
- något
- app
- app store
- syntes
- Apple
- Ansökan
- tillämpningar
- tillvägagångssätt
- appar
- AS
- At
- Attacker
- automatisera
- automatiskt
- Bank
- bankkonto
- Banking
- Banker
- BE
- varit
- Börjar
- beteende
- inbyggd
- by
- Kampanj
- KAN
- Kategori
- chanser
- valde
- kringgå
- hävdade
- renare
- koda
- konfiguration
- fortsätta
- kontroll
- länder
- referenser
- Trovärdighet
- Kunder
- Tjeckien
- Dangerous
- leverera
- beskriven
- utformade
- Detektering
- anordning
- enheter
- Dex
- funktionshinder
- Upptäckten
- distinkt
- distribuera
- fördelnings
- nedladdning
- dubbade
- under
- dynamiskt
- varje
- lättare
- eliminera
- möjliggör
- engagerande
- förbättra
- Europa
- Giltigt körkort
- Europeiska länder
- exekvera
- exekvera
- utnyttjas
- tyg
- långt
- Leverans
- Funktioner
- Fil
- Filer
- Slutligen
- fynd
- Förnamn
- fem
- För
- fyra
- Frankrike
- bedrägeri
- spårning av bedrägerier
- Fri
- ofta
- från
- funktionalitet
- fonder
- Tyskland
- skaffa sig
- Google Play
- Guard
- Hälften
- hårdare
- skadliga
- Har
- Hög
- Men
- html
- HTTPS
- if
- genomföras
- in
- ingår
- ökande
- infektioner
- info
- informationen
- inledande
- initialt
- Installationen
- installerad
- installera
- interagera
- interaktion
- in
- introducerade
- IT
- Italien
- DESS
- sig
- jpg
- Kingdom
- land
- senare
- senaste
- t minst
- legitim
- tycka om
- log
- sänkning
- gjord
- göra
- skadlig
- malware
- förvaltade
- mekanismer
- Mobil
- Mobil app
- mobil-appar
- övervakning
- månader
- mest
- mycket
- multipel
- Behöver
- behov
- Nya
- Nej
- noterade
- inget
- November
- talrik
- of
- tjänsteman
- Ofta
- on
- gång
- ONE
- pågående
- endast
- till
- Operatören
- operatörer
- or
- Övriga
- över
- paket
- behörigheter
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- Play butik
- potentiell
- potentiellt
- föregående
- tidigare
- process
- processer
- fruktsam
- Betygsätta
- rates
- nå
- Läsare
- realtid
- Anledningen
- mottagna
- senaste
- regioner
- relativt
- frigöra
- avlägsen
- rapport
- Republiken
- kräver
- begränsad
- begränsningar
- s
- Nämnda
- skannar
- säkerhet
- server
- service
- inställningar
- flera
- signifikant
- Tecken
- eftersom
- slovenien
- smyga
- So
- speciell
- speciella behov
- Sponsrade
- lagra
- lagrar
- framgångsrik
- sådana
- föreslå
- misstänksam
- system
- Ta
- riktade
- targeting
- mål
- den där
- Smakämnen
- deras
- Dem
- sedan
- Där.
- Dessa
- de
- detta
- denna vecka
- de
- hot
- hotaktörer
- gånger
- till
- topp
- Totalt
- Trojan
- prova
- Typ
- uppvikning
- United
- Storbritannien
- Uppdatering
- uppladdad
- URL
- us
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- leverantör
- via
- offer
- tittare
- Våg
- vågor
- vecka
- Vad
- när
- som
- medan
- med
- år
- zephyrnet