ผู้คุกคามกำลังใช้ตัวปล่อยมัลแวร์ซึ่งปลอมตัวเป็นแอปมือถือที่ถูกกฎหมายบน Play Store ของ Google เพื่อแจกจ่ายโทรจันธนาคารที่เป็นอันตรายซึ่งมีชื่อว่า “Anatsa” ให้กับผู้ใช้ Android ในหลายประเทศในยุโรป
แคมเปญดังกล่าวดำเนินไปเป็นเวลาอย่างน้อยสี่เดือนและเป็นเสียงล่าสุดจากผู้ดำเนินการมัลแวร์ ซึ่งปรากฏครั้งแรกในปี 2020 และก่อนหน้านี้เคยพบเหยื่อในสหรัฐอเมริกา อิตาลี สหราชอาณาจักร ฝรั่งเศส เยอรมนี และประเทศอื่น ๆ
อัตราการติดเชื้อที่อุดมสมบูรณ์
นักวิจัยจาก ThreatFabric ได้ติดตาม Anatsa นับตั้งแต่การค้นพบครั้งแรก และพบการโจมตีระลอกใหม่เริ่มในเดือนพฤศจิกายน 2023 ในรายงานประจำสัปดาห์นี้ ผู้ให้บริการตรวจจับการฉ้อโกงอธิบายว่าการโจมตีดังกล่าวเกิดขึ้นในหลายระลอกที่แตกต่างกัน โดยมุ่งเป้าไปที่ลูกค้าของธนาคารในสโลวาเกีย สโลวีเนีย และสาธารณรัฐเช็ก
จนถึงตอนนี้ ผู้ใช้ Android ในภูมิภาคเป้าหมายได้ดาวน์โหลด Droppers สำหรับมัลแวร์จาก Play Store ของ Google อย่างน้อย 100,000 ครั้งตั้งแต่เดือนพฤศจิกายน ในแคมเปญก่อนหน้านี้ในช่วงครึ่งแรกของปี 2023 ที่ ThreatFabric ติดตาม ผู้แสดงภัยคุกคามได้สะสมการติดตั้ง Droppers ที่มีอาวุธมากกว่า 130,000 ครั้งสำหรับ Anatsa จากร้านแอปบนอุปกรณ์เคลื่อนที่ของ Google
ThreatFabric ระบุว่าอัตราการติดเชื้อที่ค่อนข้างสูงนั้นมาจากวิธีการหลายขั้นตอนที่ผู้ส่งบน Google Play ใช้ในการส่ง Anatsa บนอุปกรณ์ Android เมื่อผู้ส่งหยดถูกอัปโหลดไปยัง Play ในตอนแรก ไม่มีอะไรเกี่ยวกับพวกเขาที่จะแนะนำพฤติกรรมที่เป็นอันตราย หลังจากที่พวกเขาเข้าสู่ Play แล้ว droppers จะดึงโค้ดแบบไดนามิกสำหรับดำเนินการการกระทำที่เป็นอันตรายจากเซิร์ฟเวอร์คำสั่งและการควบคุมระยะไกล (C2)
หนึ่งในผู้ทิ้งซึ่งปลอมตัวเป็นแอปที่สะอาดกว่า อ้างว่าต้องได้รับสิทธิ์เข้าถึงฟีเจอร์บริการการเข้าถึงของ Android ด้วยเหตุผลที่ถูกต้องตามกฎหมาย บริการการเข้าถึงของ Android เป็นคุณลักษณะพิเศษที่ออกแบบมาเพื่อให้ผู้ใช้ที่มีความพิการและมีความต้องการพิเศษโต้ตอบกับแอป Android ได้ง่ายขึ้น ผู้คุกคามมักจะใช้ประโยชน์จากคุณสมบัตินี้เพื่อทำให้การติดตั้งเพย์โหลดบนอุปกรณ์ Android เป็นอัตโนมัติ และลดความจำเป็นในการโต้ตอบของผู้ใช้ในระหว่างกระบวนการ
แนวทางหลายขั้นตอน
“ในตอนแรก แอป [สะอาดกว่า] ดูไม่เป็นอันตราย โดยไม่มีโค้ดที่เป็นอันตราย และ AccessibilityService ของแอปก็ไม่มีส่วนร่วมในกิจกรรมที่เป็นอันตรายใดๆ” ThreatFabric กล่าว “อย่างไรก็ตาม หนึ่งสัปดาห์หลังจากการเปิดตัว การอัปเดตได้แนะนำโค้ดที่เป็นอันตราย การอัปเดตนี้เปลี่ยนแปลงฟังก์ชันการทำงานของ AccessibilityService ทำให้สามารถดำเนินการการกระทำที่เป็นอันตราย เช่น การคลิกปุ่มโดยอัตโนมัติเมื่อได้รับการกำหนดค่าจากเซิร์ฟเวอร์ C2” ผู้จำหน่ายระบุ
ไฟล์ที่หยดดึงข้อมูลแบบไดนามิกจากเซิร์ฟเวอร์ C2 มีข้อมูลการกำหนดค่าสำหรับไฟล์ DEX ที่เป็นอันตรายสำหรับการกระจายรหัสแอปพลิเคชัน Android; ไฟล์ DEX ที่มีโค้ดที่เป็นอันตรายสำหรับการติดตั้งเพย์โหลด การกำหนดค่าด้วยเพย์โหลด URL และสุดท้ายคือโค้ดสำหรับการดาวน์โหลดและติดตั้ง Anatsa บนอุปกรณ์
วิธีการโหลดแบบไดนามิกหลายขั้นตอนที่ใช้โดยผู้แสดงภัยคุกคามทำให้แต่ละหยดที่ใช้ในแคมเปญล่าสุดสามารถหลีกเลี่ยงข้อจำกัดการเข้าถึงบริการการเข้าถึงที่เข้มงวดยิ่งขึ้นที่ Google นำมาใช้ใน Android 13 Threat Fabric กล่าว
สำหรับแคมเปญล่าสุด ผู้ดำเนินการของ Anatsa เลือกใช้หยดทั้งหมด 3 อันซึ่งปลอมตัวเป็นแอปล้างอุปกรณ์ฟรี โปรแกรมดู PDF และแอปอ่าน PDF บน Google Play “แอปพลิเคชันเหล่านี้มักจะติด XNUMX อันดับแรกในหมวดหมู่ 'ฟรีใหม่ยอดนิยม' ซึ่งเพิ่มความน่าเชื่อถือและลดการป้องกันผู้ที่ตกเป็นเหยื่อ ในขณะเดียวกันก็เพิ่มโอกาสในการแทรกซึมได้สำเร็จ” ThreatFabric กล่าวในรายงาน เมื่อติดตั้งบนระบบแล้ว Anasta จะสามารถขโมยข้อมูลประจำตัวและข้อมูลอื่น ๆ ที่อนุญาตให้ผู้คุกคามเข้าควบคุมอุปกรณ์และเข้าสู่ระบบบัญชีธนาคารของผู้ใช้และขโมยเงินจากอุปกรณ์ในภายหลัง
เช่นเดียวกับ Apple Google ได้ใช้กลไกความปลอดภัยมากมายในช่วงไม่กี่ปีที่ผ่านมา ทำให้ผู้คุกคามสามารถแอบดูแอปที่เป็นอันตรายได้ยากขึ้น ลงในอุปกรณ์ Android ผ่านทาง App Store บนมือถืออย่างเป็นทางการ หนึ่งในสิ่งที่สำคัญที่สุดในหมู่พวกเขาคือ Google Play Protectซึ่งเป็นฟีเจอร์ในตัวของ Android ที่สแกนการติดตั้งแอปแบบเรียลไทม์เพื่อหาสัญญาณของพฤติกรรมที่อาจเป็นอันตรายหรือเป็นอันตราย จากนั้นแจ้งเตือนหรือปิดใช้งานแอปหากพบสิ่งที่น่าสงสัย คุณลักษณะการตั้งค่าที่จำกัดของ Android ยังทำให้ผู้คุกคามพยายามแพร่เชื้ออุปกรณ์ Android ได้ยากขึ้นมากผ่านแอปไซด์โหลด หรือแอปจากร้านค้าแอปพลิเคชันที่ไม่เป็นทางการ
ถึงกระนั้นก็ตาม ผู้แสดงภัยคุกคามก็ยังคงสามารถดำเนินการต่อไปได้ แอบแฝงมัลแวร์ไปยังอุปกรณ์ Android ผ่าน Play โดยการใช้คุณสมบัติในทางที่ผิดเช่น AccessibilityService ของ Android หรือโดยใช้กระบวนการติดไวรัสแบบหลายขั้นตอนและโดยการใช้ตัวติดตั้งแพ็คเกจที่เลียนแบบคุณสมบัติใน Play store เพื่อไซด์โหลดแอพที่เป็นอันตราย ThreatFabric กล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :มี
- :เป็น
- :ไม่
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- เกี่ยวกับเรา
- การเข้าถึง
- ลงชื่อเข้าใช้
- สะสม
- การปฏิบัติ
- กิจกรรม
- นักแสดง
- หลังจาก
- การแจ้งเตือน
- อนุญาต
- อนุญาตให้
- ด้วย
- เปลี่ยนแปลง
- ในหมู่
- an
- และ
- หุ่นยนต์
- Android 13
- ใด
- สิ่งใด
- app
- แอปสโตร์
- ปรากฏ
- Apple
- การใช้งาน
- การใช้งาน
- เข้าใกล้
- ปพลิเคชัน
- AS
- At
- การโจมตี
- โดยอัตโนมัติ
- อัตโนมัติ
- ธนาคาร
- บัญชีธนาคาร
- การธนาคาร
- ธนาคาร
- BE
- รับ
- การเริ่มต้น
- พฤติกรรม
- built-in
- by
- รณรงค์
- CAN
- หมวดหมู่
- โอกาส
- เลือก
- หลีกเลี่ยง
- อ้างว่า
- ทำความสะอาด
- รหัส
- องค์ประกอบ
- ต่อ
- ควบคุม
- ประเทศ
- หนังสือรับรอง
- ความน่าเชื่อถือ
- ลูกค้า
- สาธารณรัฐเช็ก
- Dangerous
- ส่งมอบ
- อธิบาย
- ได้รับการออกแบบ
- การตรวจพบ
- เครื่อง
- อุปกรณ์
- Dex
- ความพิการ
- การค้นพบ
- แตกต่าง
- กระจาย
- จำหน่าย
- ดาวน์โหลด
- ขนานนามว่า
- ในระหว่าง
- แบบไดนามิก
- แต่ละ
- ง่ายดาย
- กำจัด
- การเปิดใช้งาน
- น่าสนใจ
- การเสริมสร้าง
- ยุโรป
- ในทวีปยุโรป
- ประเทศในยุโรป
- ดำเนินการ
- การดำเนินงาน
- ใช้ประโยชน์
- ผ้า
- ไกล
- ลักษณะ
- คุณสมบัติ
- เนื้อไม่มีมัน
- ไฟล์
- ในที่สุด
- พบ
- ชื่อจริง
- ห้า
- สำหรับ
- สี่
- ฝรั่งเศส
- การหลอกลวง
- การตรวจจับการฉ้อโกง
- ฟรี
- มัก
- ราคาเริ่มต้นที่
- ฟังก์ชั่น
- เงิน
- ประเทศเยอรมัน
- ได้รับ
- Google Play
- ยาม
- ครึ่ง
- ยาก
- เป็นอันตราย
- มี
- จุดสูง
- อย่างไรก็ตาม
- HTML
- HTTPS
- if
- การดำเนินการ
- in
- รวม
- ที่เพิ่มขึ้น
- การติดเชื้อ
- ข้อมูล
- ข้อมูล
- แรกเริ่ม
- ในขั้นต้น
- การติดตั้ง
- การติดตั้ง
- การติดตั้ง
- โต้ตอบ
- ปฏิสัมพันธ์
- เข้าไป
- แนะนำ
- IT
- อิตาลี
- ITS
- ตัวเอง
- jpg
- อาณาจักร
- ที่ดิน
- ต่อมา
- ล่าสุด
- น้อยที่สุด
- ถูกกฎหมาย
- กดไลก์
- เข้าสู่ระบบ
- ลด
- ทำ
- ทำ
- ที่เป็นอันตราย
- มัลแวร์
- การจัดการ
- กลไก
- โทรศัพท์มือถือ
- app มือถือ
- ปพลิเคชันมือถือ
- การตรวจสอบ
- เดือน
- มากที่สุด
- มาก
- หลาย
- จำเป็นต้อง
- ความต้องการ
- ใหม่
- ไม่
- เด่น
- ไม่มีอะไร
- พฤศจิกายน
- มากมาย
- of
- เป็นทางการ
- มักจะ
- on
- ครั้งเดียว
- ONE
- ต่อเนื่อง
- เพียง
- ไปยัง
- ผู้ประกอบการ
- ผู้ประกอบการ
- or
- อื่นๆ
- เกิน
- แพ็คเกจ
- รูปแบบไฟล์ PDF
- สิทธิ์
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- Play สโตร์
- ที่มีศักยภาพ
- ที่อาจเกิดขึ้น
- ก่อน
- ก่อนหน้านี้
- กระบวนการ
- กระบวนการ
- อุดมสมบูรณ์
- คะแนน
- ราคา
- มาถึง
- ผู้อ่าน
- เรียลไทม์
- เหตุผล
- ที่ได้รับ
- เมื่อเร็ว ๆ นี้
- ภูมิภาค
- สัมพัทธ์
- ปล่อย
- รีโมท
- รายงาน
- สาธารณรัฐ
- ต้องการ
- หวงห้าม
- ข้อ จำกัด
- s
- กล่าวว่า
- สแกน
- ความปลอดภัย
- เซิร์ฟเวอร์
- บริการ
- การตั้งค่า
- หลาย
- สำคัญ
- สัญญาณ
- ตั้งแต่
- สโลวีเนีย
- แอบดู
- So
- พิเศษ
- ความต้องการพิเศษ
- ผู้ให้การสนับสนุน
- จัดเก็บ
- ร้านค้า
- ที่ประสบความสำเร็จ
- อย่างเช่น
- แนะนำ
- พิรุธ
- ระบบ
- เอา
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- ในสัปดาห์นี้
- เหล่านั้น
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ครั้ง
- ไปยัง
- ด้านบน
- รวม
- โทรจัน
- ลอง
- ชนิด
- การแฉ
- พร้อมใจกัน
- สหราชอาณาจักร
- บันทึก
- อัปโหลด
- URL
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- ผู้ขาย
- ผ่านทาง
- ผู้ที่ตกเป็นเหยื่อ
- ผู้ชม
- คลื่น
- คลื่น
- สัปดาห์
- อะไร
- เมื่อ
- ที่
- ในขณะที่
- กับ
- ปี
- ลมทะเล