Зловмисник використовує дроппери зловмисного програмного забезпечення, замасковані під законні мобільні програми в магазині Google Play, щоб поширювати небезпечний банківський троян під назвою «Anatsa» серед користувачів Android у кількох європейських країнах.
Кампанія триває щонайменше чотири місяці і є останнім залпом від операторів шкідливого програмного забезпечення, яке вперше з’явилося в 2020 році і раніше було жертвами в США, Італії, Великій Британії, Франції, Німеччині та інших країнах.
Велика кількість інфекцій
Дослідники з ThreatFabric стежили за Anatsa з моменту його першого відкриття та помітили нову хвилю атак, яка почалася в листопаді 2023 року. У звіті цього тижня, Постачальник засобів виявлення шахрайства описав атаки як кілька різних хвиль, націлених на клієнтів банків у Словаччині, Словенії та Чехії.
Наразі користувачі Android у цільових регіонах завантажили дроппери для зловмисного програмного забезпечення з магазину Google Play принаймні 100,000 2023 разів з листопада. У попередній кампанії протягом першої половини 130,000 року, яку відстежував ThreatFabric, зловмисники зібрали понад XNUMX XNUMX установок своїх озброєних дропперів для Anatsa з магазину мобільних додатків Google.
ThreatFabric пояснює відносно високі показники зараження багатоетапним підходом, який використовують дроппери в Google Play для доставки Anatsa на пристрої Android. Коли дроппери спочатку завантажуються в Play, у них немає нічого, що вказувало б на зловмисну поведінку. Лише після того, як вони потрапляють у Play, дроппери динамічно отримують код для виконання зловмисних дій із віддаленого сервера керування (C2).
Один із дропперів, замаскований під програму для очищення, стверджував, що вимагає дозволу на функцію Accessibility Service Android із, як здавалося, законної причини. Служба спеціальних можливостей Android — це спеціальний тип функції, створений для полегшення взаємодії з програмами Android для користувачів з обмеженими можливостями та особливими потребами. Зловмисники часто використовували цю функцію для автоматизації встановлення корисного навантаження на пристроях Android і усунення необхідності будь-якої взаємодії користувача під час процесу.
Багатоетапний підхід
«Спочатку додаток [cleaner] здавався нешкідливим, без шкідливого коду, а його AccessibilityService не брав участі в будь-якій шкідливій діяльності», — повідомили в ThreatFabric. «Однак через тиждень після випуску в оновленні був присутній шкідливий код. Це оновлення змінило функціональні можливості AccessibilityService, дозволивши йому виконувати зловмисні дії, такі як автоматичне натискання кнопок після отримання конфігурації від сервера C2», — зазначив постачальник.
Файли, які дроппер динамічно отримував із сервера C2, включали конфігураційну інформацію для шкідливого файлу DEX для розповсюдження коду програми Android; сам файл DEX зі шкідливим кодом для встановлення корисного навантаження, конфігурації з URL-адресою корисного навантаження та, нарешті, код для завантаження та встановлення Anatsa на пристрої.
За словами Threat Fabric, багатоетапний підхід із динамічним завантаженням, який використовували зловмисники, дозволив кожному з дропперів, які вони використовували в останній кампанії, обійти суворіші обмеження AccessibilityService, які Google запровадила в Android 13.
Для останньої кампанії оператор Anatsa вирішив використати загалом п’ять дропперів, замаскованих під безкоштовні програми для очищення пристроїв, програми для перегляду PDF-файлів і програми для читання PDF-файлів у Google Play. «Ці додатки часто потрапляють до ТОП-3 у категорії «Найпопулярніші нові безкоштовні», підвищуючи довіру до них і знижуючи охорону потенційних жертв, одночасно збільшуючи шанси на успішне проникнення», — йдеться у звіті ThreatFabric. Після встановлення в системі Anasta може викрасти облікові дані та іншу інформацію, яка дозволяє зловмиснику заволодіти пристроєм, а потім увійти в банківський рахунок користувача та викрасти з нього кошти.
Як і Apple, Google запровадив численні механізми безпеки за останні роки ускладнюють проникнення шкідливих програм для загроз на пристрої Android через офіційний магазин мобільних додатків. Одним із найзначніших серед них є Захистити Google Play, вбудована функція Android, яка в режимі реального часу сканує встановлені програми на наявність ознак потенційно зловмисної чи шкідливої поведінки, а потім сповіщає або вимикає програму, якщо вона знаходить щось підозріле. Функція обмежених налаштувань Android також значно ускладнила спроби загроз заражати пристрої Android через сторонні програми або програми з неофіційних магазинів програм.
Незважаючи на це, суб’єктам загроз вдалося продовжити проникнути зловмисним програмним забезпеченням на пристрої Android За словами ThreatFabric, через Play, зловживаючи такими функціями, як AccessibilityService Android, або використовуючи багатоетапні процеси зараження та використовуючи інсталятори пакетів, які імітують ті, що в Play Store, для завантаження зловмисних програм.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- : має
- :є
- : ні
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- МЕНЮ
- доступність
- рахунки
- Накопичений
- дії
- діяльності
- актори
- після
- Alerts
- дозволяти
- дозволено
- Також
- змінений
- серед
- an
- та
- чоловіча
- Android 13
- будь-який
- все
- додаток
- магазин додатків
- з'явився
- Apple
- додаток
- застосування
- підхід
- додатка
- AS
- At
- нападки
- автоматизувати
- автоматично
- Банк
- рахунок у банку
- Banking
- Банки
- BE
- було
- початок
- поведінка
- вбудований
- by
- Кампанія
- CAN
- Категорія
- шанси
- вибрав
- обійти
- стверджував,
- очищувач
- код
- конфігурація
- продовжувати
- контроль
- країни
- Повноваження
- правдоподібність
- Клієнти
- Чеська республіка
- Небезпечний
- доставляти
- описаний
- призначений
- Виявлення
- пристрій
- прилади
- Dex
- інвалідності
- відкриття
- чіткий
- поширювати
- розповсюдження
- Завантаження
- охрестили
- під час
- динамічно
- кожен
- легше
- усунутий
- дозволяє
- залучення
- підвищення
- Європа
- Європейська
- Європейські країни
- виконувати
- виконання
- експлуатований
- тканину
- далеко
- особливість
- риси
- філе
- Файли
- в кінці кінців
- знахідки
- Перший
- п'ять
- для
- чотири
- Франція
- шахрайство
- виявлення шахрайства
- Безкоштовна
- часто
- від
- функціональність
- засоби
- Німеччина
- отримати
- в Google Play
- Охорона
- Половина
- важче
- шкідливий
- Мати
- Високий
- Однак
- HTML
- HTTPS
- if
- реалізовані
- in
- включені
- зростаючий
- інфекції
- інформація
- інформація
- початковий
- спочатку
- установка
- встановлений
- установка
- взаємодіяти
- взаємодія
- в
- введені
- IT
- Італія
- ЙОГО
- сам
- JPG
- Царство
- земля
- пізніше
- останній
- найменш
- законний
- як
- журнал
- Опускання
- made
- зробити
- malicious
- шкідливих програм
- вдалося
- механізми
- Mobile
- Мобільний додаток
- мобільні Програми-
- моніторинг
- місяців
- найбільш
- багато
- множинний
- Необхідність
- потреби
- Нові
- немає
- зазначив,
- нічого
- Листопад
- численний
- of
- офіційний
- часто
- on
- один раз
- ONE
- постійний
- тільки
- на
- оператор
- Оператори
- or
- Інше
- над
- пакет
- Дозволи
- plato
- Інформація про дані Платона
- PlatoData
- Play
- Play Маркет
- потенціал
- потенційно
- попередній
- раніше
- процес
- процеси
- плодовитий
- ставка
- ставки
- досягати
- читач
- реального часу
- причина
- отримано
- останній
- райони
- щодо
- звільнити
- віддалений
- звітом
- Республіка
- вимагати
- обмежений
- Обмеження
- s
- Зазначений
- сканування
- безпеку
- сервер
- обслуговування
- налаштування
- кілька
- значний
- Ознаки
- з
- Словенія
- стягнути
- So
- спеціальний
- особливі потреби
- Рекламні
- зберігати
- магазинів
- успішний
- такі
- пропонувати
- підозрілі
- система
- Приймати
- цільове
- націлювання
- цілі
- Що
- Команда
- їх
- Їх
- потім
- Там.
- Ці
- вони
- це
- На цьому тижні
- ті
- загроза
- актори загроз
- times
- до
- топ
- Усього:
- троянець
- намагатися
- тип
- розгортання
- United
- Об'єднане Королівство
- Оновити
- завантажено
- URL
- us
- використання
- використовуваний
- користувач
- користувачі
- використання
- продавець
- через
- жертви
- глядачів
- хвиля
- хвилі
- week
- Що
- коли
- який
- в той час як
- з
- років
- зефірнет