Một kẻ đe dọa đang sử dụng trình thả phần mềm độc hại được ngụy trang dưới dạng ứng dụng di động hợp pháp trên cửa hàng Play của Google để phân phối một Trojan ngân hàng nguy hiểm có tên là “Anatsa” tới người dùng Android ở một số quốc gia Châu Âu.
Chiến dịch này đã diễn ra trong ít nhất 2020 tháng và là đợt tấn công mới nhất từ những kẻ điều hành phần mềm độc hại, xuất hiện lần đầu tiên vào năm XNUMX và trước đó đã xác định được nạn nhân ở Mỹ, Ý, Vương quốc Anh, Pháp, Đức và các quốc gia khác.
Tỷ lệ lây nhiễm tăng cao
Các nhà nghiên cứu từ ThreatFabric đã theo dõi Anatsa kể từ lần phát hiện đầu tiên và phát hiện ra làn sóng tấn công mới bắt đầu vào tháng 2023 năm XNUMX. Trong một báo cáo tuần này, nhà cung cấp dịch vụ phát hiện gian lận mô tả các cuộc tấn công diễn ra theo nhiều đợt riêng biệt nhắm vào khách hàng của các ngân hàng ở Slovakia, Slovenia và Cộng hòa Séc.
Cho đến nay, người dùng Android ở các khu vực được nhắm mục tiêu đã tải xuống phần mềm độc hại từ cửa hàng Play của Google ít nhất 100,000 lần kể từ tháng 2023. Trong một chiến dịch trước đó vào nửa đầu năm 130,000 mà ThreatFabric theo dõi, các tác nhân đe dọa đã tích lũy được hơn XNUMX lượt cài đặt công cụ nhỏ giọt được trang bị vũ khí cho Anatsa từ cửa hàng ứng dụng di động của Google.
ThreatFabric cho rằng tỷ lệ lây nhiễm tương đối cao là do cách tiếp cận theo nhiều giai đoạn mà những kẻ nhỏ giọt trên Google Play sử dụng để phân phối Anatsa trên thiết bị Android. Khi những phần mềm nhỏ giọt ban đầu được tải lên Play, chúng không có dấu hiệu gì cho thấy hành vi nguy hiểm. Chỉ sau khi truy cập Play, những kẻ nhỏ giọt mới tự động truy xuất mã để thực thi các hành động độc hại từ máy chủ ra lệnh và điều khiển (C2) từ xa.
Một trong những kẻ nhỏ giọt, được ngụy trang dưới dạng một ứng dụng sạch hơn, tuyên bố yêu cầu quyền đối với tính năng Dịch vụ trợ năng của Android vì lý do chính đáng. Dịch vụ trợ năng của Android là một loại tính năng đặc biệt được thiết kế để giúp người dùng khuyết tật và có nhu cầu đặc biệt tương tác với ứng dụng Android dễ dàng hơn. Các tác nhân đe dọa thường xuyên khai thác tính năng này để tự động cài đặt tải trọng trên thiết bị Android và loại bỏ nhu cầu tương tác của người dùng trong quá trình này.
Phương pháp tiếp cận nhiều giai đoạn
“Ban đầu, ứng dụng [cleaner] có vẻ vô hại, không có mã độc và AccessibilityService của nó không tham gia vào bất kỳ hoạt động có hại nào,” ThreatFabric cho biết. “Tuy nhiên, một tuần sau khi phát hành, một bản cập nhật đã giới thiệu mã độc. Bản cập nhật này đã thay đổi chức năng AccessibilityService, cho phép nó thực thi các hành động độc hại như tự động nhấp vào nút sau khi nhận được cấu hình từ máy chủ C2”, nhà cung cấp lưu ý.
Các tệp mà kẻ nhỏ giọt truy xuất động từ máy chủ C2 bao gồm thông tin cấu hình cho tệp DEX độc hại để phân phối mã ứng dụng Android; bản thân một tệp DEX chứa mã độc để cài đặt payload, cấu hình bằng URL payload và cuối cùng là mã tải xuống và cài đặt Anatsa trên thiết bị.
Threat Fabric cho biết, cách tiếp cận nhiều giai đoạn, được tải động mà các tác nhân đe dọa sử dụng đã cho phép từng công cụ nhỏ giọt mà chúng sử dụng trong chiến dịch mới nhất vượt qua các hạn chế AccessibilityService cứng rắn hơn mà Google đã triển khai trong Android 13.
Đối với chiến dịch mới nhất, nhà điều hành Anatsa đã chọn sử dụng tổng cộng năm ứng dụng nhỏ giọt được ngụy trang dưới dạng ứng dụng dọn dẹp thiết bị miễn phí, ứng dụng xem PDF và ứng dụng đọc PDF trên Google Play. Trong báo cáo của mình, ThreatFabric cho biết: “Các ứng dụng này thường lọt vào Top 3 trong danh mục 'Miễn phí mới hàng đầu', nâng cao độ tin cậy của chúng và hạ thấp sự cảnh giác của các nạn nhân tiềm năng đồng thời tăng cơ hội xâm nhập thành công”. Sau khi được cài đặt trên hệ thống, Anasta có thể đánh cắp thông tin xác thực và thông tin khác cho phép kẻ đe dọa chiếm quyền điều khiển thiết bị, sau đó đăng nhập vào tài khoản ngân hàng của người dùng và đánh cắp tiền từ tài khoản đó.
Giống như Apple, Google đã triển khai nhiều cơ chế bảo mật trong những năm gần đây để khiến các tác nhân đe dọa khó đánh lén các ứng dụng độc hại hơn vào các thiết bị Android thông qua cửa hàng ứng dụng di động chính thức của nó. Một trong những điều quan trọng nhất trong số đó là Google Play Bảo vệ, một tính năng tích hợp sẵn của Android giúp quét các lượt cài đặt ứng dụng trong thời gian thực để tìm các dấu hiệu của hành vi nguy hiểm hoặc có hại, sau đó cảnh báo hoặc vô hiệu hóa ứng dụng nếu phát hiện bất kỳ điều gì đáng ngờ. Tính năng cài đặt hạn chế của Android cũng khiến các tác nhân đe dọa cố gắng lây nhiễm thiết bị Android thông qua các ứng dụng được tải sẵn hoặc ứng dụng từ các cửa hàng ứng dụng không chính thức trở nên khó khăn hơn nhiều.
Mặc dù vậy, các tác nhân đe dọa vẫn tìm cách tiếp tục lén phần mềm độc hại vào thiết bị Android thông qua Play bằng cách lạm dụng các tính năng như AccessibilityService của Android hoặc bằng cách sử dụng các quy trình lây nhiễm nhiều giai đoạn và bằng cách sử dụng trình cài đặt gói bắt chước các trình cài đặt trên cửa hàng Play để tải các ứng dụng độc hại, ThreatFabric cho biết.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- : có
- :là
- :không phải
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Giới thiệu
- khả năng tiếp cận
- Tài khoản
- Tích lũy
- hành động
- hoạt động
- diễn viên
- Sau
- Cảnh báo
- cho phép
- cho phép
- Ngoài ra
- thay đổi
- trong số
- an
- và
- Android
- Android 13
- bất kì
- bất cứ điều gì
- ứng dụng
- ứng dụng cửa hàng
- Xuất hiện
- Apple
- Các Ứng Dụng
- các ứng dụng
- phương pháp tiếp cận
- ứng dụng
- AS
- At
- Các cuộc tấn công
- tự động hóa
- tự động
- Ngân hàng
- tài khoản ngân hàng
- Ngân hàng
- Ngân hàng
- BE
- được
- Bắt đầu
- hành vi
- được xây dựng trong
- by
- Chiến dịch
- CAN
- Phân loại
- tỷ lệ cược
- chọn
- phá vỡ
- tuyên bố
- sạch hơn
- mã
- Cấu hình
- tiếp tục
- điều khiển
- nước
- Credentials
- tin tưởng
- khách hàng
- Cộng hòa Séc
- Nguy hiểm
- cung cấp
- mô tả
- thiết kế
- Phát hiện
- thiết bị
- Thiết bị (Devices)
- Dex
- khuyết tật
- phát hiện
- khác biệt
- phân phát
- phân phối
- đang tải xuống
- được mệnh danh là
- suốt trong
- năng động
- mỗi
- dễ dàng hơn
- loại bỏ
- cho phép
- tương tác
- tăng cường
- Châu Âu
- Châu Âu
- Các nước châu Âu
- thi hành
- thi hành
- khai thác
- vải
- xa
- Đặc tính
- Tính năng
- Tập tin
- Các tập tin
- Cuối cùng
- tìm thấy
- Tên
- năm
- Trong
- 4
- Nước pháp
- gian lận
- phát hiện gian lận
- Miễn phí
- thường xuyên
- từ
- chức năng
- quỹ
- Nước Đức
- được
- Google play
- Lực lượng Cảnh sát
- Một nửa
- khó hơn
- có hại
- Có
- Cao
- Tuy nhiên
- HTML
- HTTPS
- if
- thực hiện
- in
- bao gồm
- tăng
- nhiễm trùng
- Thông tin
- thông tin
- ban đầu
- ban đầu
- cài đặt
- cài đặt
- Cài đặt
- tương tác
- tương tác
- trong
- giới thiệu
- IT
- Italy
- ITS
- chính nó
- jpg
- Vương quốc
- Quốc gia
- một lát sau
- mới nhất
- ít nhất
- hợp pháp
- Lượt thích
- đăng nhập
- Hạ
- thực hiện
- làm cho
- độc hại
- phần mềm độc hại
- quản lý
- cơ chế
- di động
- ứng dụng di động
- ứng dụng di động
- giám sát
- tháng
- hầu hết
- nhiều
- nhiều
- Cần
- nhu cầu
- Mới
- Không
- lưu ý
- không
- Tháng mười một
- nhiều
- of
- chính thức
- thường
- on
- hàng loạt
- ONE
- đang diễn ra
- có thể
- trên
- nhà điều hành
- khai thác
- or
- Nền tảng khác
- kết thúc
- gói
- quyền
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- Cửa hàng play
- tiềm năng
- có khả năng
- trước
- trước đây
- quá trình
- Quy trình
- phong phú
- Tỷ lệ
- Giá
- đạt
- Người đọc
- thời gian thực
- lý do
- nhận
- gần đây
- vùng
- tương đối
- phát hành
- xa
- báo cáo
- Cộng hòa
- yêu cầu
- hạn chế
- hạn chế
- s
- Nói
- quét
- an ninh
- máy chủ
- dịch vụ
- thiết lập
- một số
- có ý nghĩa
- Dấu hiệu
- kể từ khi
- Slovenia
- lẻn
- So
- đặc biệt
- nhu cầu đặc biệt
- Được tài trợ
- hàng
- cửa hàng
- thành công
- như vậy
- đề nghị
- đáng ngờ
- hệ thống
- Hãy
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều này
- tuần này
- những
- mối đe dọa
- diễn viên đe dọa
- thời gian
- đến
- hàng đầu
- Tổng số:
- Trojan
- thử
- kiểu
- mở ra
- Kỳ
- Vương quốc Anh
- Cập nhật
- tải lên
- URL
- us
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- nhà cung cấp
- thông qua
- nạn nhân
- Người xem
- Sóng
- sóng biển
- tuần
- Điều gì
- khi nào
- cái nào
- trong khi
- với
- năm
- zephyrnet