Μια νέα καμπάνια διανομής malware που έχει ξεκινήσει από τον Μάρτιο του 2023, διανέμει το Android banking Trojan “Anatsa” σε πελάτες που χρησιμοποιούν online banking στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία, την Αυστρία και την Ελβετία.
Σύμφωνα με ερευνητές ασφαλείας της ThreatFabric, οι επιτιθέμενοι διανέμουν το κακόβουλο λογισμικό μέσω του Play Store. Το trojan έχει τουλάχιστον 30.000 εγκαταστάσεις μέσω των κακόβουλων εφαρμογών που έχουν εισχωρήσει στο κατάστημα εφαρμογών.
Η ThreatFabric ανακάλυψε και μια προηγούμενη καμπάνια διανομής του Anatsa στο Google Play, τον Νοέμβριο του 2021. Τότε είχαν μολυνθεί τουλάχιστον 300.000 Android συσκευές. Οι κακόβουλες εφαρμογές υποδύονταν PDF scanners, QR code scanners, Adobe Illustrator apps και εφαρμογές παρακολούθησης φυσικής κατάστασης.
Δείτε επίσης: Super Mario 3: Mario Forever – Κακόβουλη έκδοση μολύνει συσκευές Windows
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/470363/anatsa-banking-trojan-stoxeuei-xristes-se-ipa-europi/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2023/06/banking-trojan-6.jpg&description=Μια νέα καμπάνια διανομής malware που έχει ξεκινήσει από τον Μάρτιο του 2023, διανέμει το Android banking Trojan "Anatsa" σε πελάτες που){kind=link}
Android banking Trojan “Anatsa”: Νέα καμπάνια
Τον Μάρτιο του 2023, οι φορείς των απειλών ξεκίνησαν μια νέα καμπάνια διανομής του Anatsa, που οδηγεί τα υποψήφια θύματα να κατεβάζουν Anatsa dropper apps από το Google Play.
Και σε αυτή τη νέα καμπάνια, οι κακόβουλες εφαρμογές εμφανίζονται ως νόμιμες εφαρμογές προβολής και επεξεργασίας PDF και office suites.
Μάλιστα, οι επιτιθέμενοι είναι ιδιαίτερα επίμονοι. Κάθε φορά που οι ερευνητές της ThreatFabric έβρισκαν μια κακόβουλη εφαρμογή και την ανέφεραν στη Google (η οποία φρόντιζε για την αφαίρεσή της από το Google Play), οι επιτιθέμενοι επέστρεφαν γρήγορα ανεβάζοντας ένα νέο dropper.
Έχουν εντοπιστεί τουλάχιστον πέντε malware droppers. Οι κακόβουλες εφαρμογές υποβάλλονταν στο Google Play σε καθαρή μορφή και αργότερα αποκτούσαν τον κακόβουλο κώδικα μέσω ενημερώσεων. Προφανώς, οι εφαρμογές ήταν “καθαρές” κατά την αρχική υποβολή, για να αποφύγουν την αυστηρή διαδικασία ελέγχου κώδικα της Google σε αυτό το πρώτο στάδιο.
Μόλις εγκατασταθούν στη συσκευή του θύματος, οι εφαρμογές dropper ζητούν έναν εξωτερικό πόρο που φιλοξενείται στο GitHub. Εκεί γίνεται λήψη των Anatsa payloads που μεταμφιέζονται ως text recognizer add-ons για το Adobe Illustrator.
Το Anatsa banking trojan συλλέγει οικονομικές πληροφορίες όπως τραπεζικά credentials, στοιχεία πιστωτικής κάρτας, στοιχεία πληρωμής κ.λπ., εμφανίζοντας σελίδες phishing όταν ο χρήστης επιχειρεί να ανοίξει μια νόμιμη τραπεζική εφαρμογή. Επίσης, χρησιμοποιεί την τεχνική του keylogging.
Δείτε επίσης: NSA: Για να σκοτώσετε το BlackLotus malware, το patch είναι μια καλή αρχή
Στην τρέχουσα έκδοσή του, το Anatsa trojan μπορεί να στοχεύσει τουλάχιστον 600 εφαρμογές τραπεζικών ιδρυμάτων από όλο τον κόσμο.
Το Anatsa banking trojan χρησιμοποιεί τα κλεμμένα οικονομικά στοιχεία για να πραγματοποιήσει απάτη στη συσκευή, ανοίγοντας την τραπεζική εφαρμογή που χρησιμοποιεί το θύμα και πραγματοποιώντας συναλλαγές για λογαριασμό του.
“Δεδομένου ότι οι συναλλαγές ξεκινούν από την ίδια συσκευή που χρησιμοποιούν τακτικά στοχευόμενοι πελάτες τραπεζών, είναι πολύ δύσκολο για τα τραπεζικά συστήματα να εντοπίσουν την απάτη“, εξηγεί η ThreatFabric.
Τα κλεμμένα ποσά μετατρέπονται σε crypto και περνούν μέσα από ένα εκτεταμένο δίκτυο money mules στις στοχευμένες χώρες. Αυτά τα δίκτυα κρατούν ένα μέρος των κλεμμένων κεφαλαίων και στέλνουν τα υπόλοιπα στους επιτιθέμενους.
Πώς να προστατευτείτε;
Το Anatsa Android banking trojan μας θυμίζει για άλλη μια φορά ότι πρέπει να είμαστε ιδιαίτερα προσεκτικοί με τις εφαρμογές που κατεβάζουμε σε συσκευές Android.
Επιλέξτε να κατεβάζετε εφαρμογές μόνο από αξιόπιστες πηγές, αλλά αποφύγετε την εγκατάσταση εφαρμογών από αμφίβολους εκδότες, ακόμα κι αν αυτές βρίσκονται σε επίσημα καταστήματα εφαρμογών, όπως το Google Play. Συμβουλευτείτε τις κριτικές άλλων χρηστών και ελέγξτε εάν υπάρχουν αναφορές για περίεργη ή κακόβουλη συμπεριφορά.
Δείτε επίσης: Το ισχυρό JavaScript Dropper PindOS διανέμει malware Bumblebee και IcedID
Επιπλέον, αποφύγετε εφαρμογές με λίγες εγκαταστάσεις και αξιολογήσεις και επιλέξτε πιο γνωστά apps.
Καθώς πολλές εφαρμογές στο Google Play έχουν το ίδιο όνομα με τις κακόβουλες εφαρμογές, ελέγξτε την αναφορά της ThreatFabric για να βρείτε τη λίστα με τα package names και signatures που διανέμουν το Anatsa.
Αν έχετε μια κακόβουλη εφαρμογή στην Android συσκευή σας, αφαιρέστε την αμέσως.
Καλό είναι να έχετε και μια εφαρμογή προστασίας από ιούς στην κινητή συσκευή σας για να αυξήσετε τα επίπεδα ασφάλειας.
Τα Android banking trojans είναι μια από τις πιο σημαντικές απειλές τον τελευταίο καιρό, λόγω της ικανότητάς τους να κλέβουν ευαίσθητες πληροφορίες από τις κινητές συσκευές των χρηστών. Καθώς εκατομμύρια άνθρωποι χρησιμοποιούν εφαρμογές mobile banking, είναι σημαντικό να παραμείνουμε σε εγρήγορση και να ξέρουμε πώς να προστατευτούμε από τέτοιες επιθέσεις.
Πηγή: www.bleepingcomputer.com