Το Android banking trojan Anatsa στοχεύει τώρα χρήστες σε περισσότερες χώρες, συμπεριλαμβανομένης της Σλοβακίας, της Σλοβενίας και της Τσεχίας. Ερευνητές ασφαλείας της ThreatFabric παρατήρησαν τη νέα καμπάνια το Νοέμβριο του 2023.
“Μερικά από τα droppers στην καμπάνια αυτή εκμεταλλεύτηκαν με επιτυχία την υπηρεσία προσβασιμότητας, παρά τους βελτιωμένους μηχανισμούς ανίχνευσης και προστασίας του Google Play“, ανέφερε η ThreatFabric.
Η καμπάνια, συνολικά, περιλαμβάνει πέντε droppers με περισσότερες από 100.000 εγκαταστάσεις συνολικά.
Δείτε επίσης: Το Coyote banking trojan έχει μολύνει 61 τραπεζικές εφαρμογές
Το Android banking trojan Anatsa είναι γνωστό και με τα ονόματα TeaBot και Toddler, και διανέμεται μέσω φαινομενικά αβλαβών εφαρμογών στο Google Play Store. Αυτές οι εφαρμογές, που ονομάζονται droppers, διευκολύνουν την εγκατάσταση του κακόβουλου λογισμικού, παρακάμπτοντας μέτρα ασφαλείας της Google που εκθέτουν ευαίσθητες άδειες.
Τον Ιούνιο του 2023, η εταιρεία αποκάλυψε μια καμπάνια Anatsa που στόχευε τραπεζικούς πελάτες στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία, την Αυστρία και την Ελβετία. Αυτή η καμπάνια είχε ξεκινήσει τουλάχιστον από τον Μάρτιο του 2023, χρησιμοποιώντας εφαρμογές dropper που είχαν περάσει στο Play Store και είχαν πάνω από 30.000 εγκαταστάσεις.
Το Anatsa banking trojan μπορεί να αποκτήσει τον πλήρη έλεγχο των μολυσμένων συσκευών και να εκτελεί ενέργειες για λογαριασμό του θύματος. Μπορεί επίσης να κλέψει credentials για να ξεκινήσει δόλιες συναλλαγές.
Στην πιο πρόσφατη καμπάνια που παρατηρήθηκε τον Νοέμβριο του 2023, οι εφαρμογές dropper μεταμφιέζονται σε εφαρμογή καθαρισμού τηλεφώνου με το όνομα “Phone Cleaner – File Explorer” (όνομα πακέτου “com.volabs.androidcleaner”). Οι επιτιθέμενοι χρησιμοποίησαν μια τεχνική που ονομάζεται versioning για να εισαγάγουν την κακόβουλη συμπεριφορά.
Αξίζει να σημειωθεί ότι τώρα η εφαρμογή δεν είναι πλέον διαθέσιμη για λήψη από το Google Play, αλλά μπορεί να γίνει λήψη μέσω άλλων πηγών.
Δείτε επίσης: Mispadu banking trojan: Εκμεταλλεύεται ευπάθεια του Windows SmartScreen
Σύμφωνα με στατιστικά στοιχεία της AppBrain, η εφαρμογή με το Anatsa εκτιμάται ότι είχε ληφθεί περίπου 12.000 φορές όσο ήταν διαθέσιμη στο Google Play Store (μεταξύ 13 Νοεμβρίου και 27 Νοεμβρίου).
“Αρχικά, η εφαρμογή φαινόταν αβλαβής, χωρίς κακόβουλο κώδικα και η υπηρεσία προσβασιμότητας δεν εμπλεκόταν σε επιβλαβείς δραστηριότητες“, δήλωσαν οι ερευνητές της ThreatFabric. “Ωστόσο, μια εβδομάδα μετά την κυκλοφορία της, μια ενημερωμένη έκδοση εισήγαγε κακόβουλο κώδικα. Αυτή η ενημέρωση άλλαξε τη λειτουργία AccessibilityService, επιτρέποντάς της να εκτελεί κακόβουλες ενέργειες“.
Αυτό που ξεχωρίζει το συγκεκριμένο dropper είναι η κατάχρηση της υπηρεσίας προσβασιμότητας σε συσκευές Samsung. Επομένως, φαίνεται να σχεδιάστηκε για να στοχεύει αποκλειστικά τις συσκευές της εταιρείας, αν και έχουν βρεθεί και κάποια άλλα droppers.
Τα droppers μπορούν επίσης να παρακάμψουν τα restricted settings του Android 13 μιμούμενα τη διαδικασία που χρησιμοποιούν οι αγορές για την εγκατάσταση νέων εφαρμογών, χωρίς να έχει απενεργοποιηθεί η πρόσβαση στα accessibility service functionalities.
“Αυτοί οι παράγοντες απειλών προτιμούν τις συγκεντρωμένες επιθέσεις σε συγκεκριμένες περιοχές παρά μια παγκόσμια εξάπλωση, μετατοπίζοντας περιοδικά την εστίασή τους“, δήλωσε η ThreatFabric. “Αυτή η στοχευμένη προσέγγιση τους δίνει τη δυνατότητα να επικεντρωθούν σε περιορισμένο αριθμό χρηματοπιστωτικών οργανισμών, οδηγώντας σε μεγάλο αριθμό υποθέσεων απάτης σε σύντομο χρονικό διάστημα“.
Δείτε επίσης: Grandoreiro Banking Trojan: Οι αρχές της Βραζιλίας συνέλλαβαν τους υπευθύνους
Προστασία από Android banking trojans
Τα Android Banking Trojans είναι κακόβουλα λογισμικά που στοχεύουν στην κλοπή των προσωπικών και τραπεζικών στοιχείων των χρηστών. Για να προστατεύσετε το smartphone σας, είναι σημαντικό να εγκαθιστάτε εφαρμογές μόνο από αξιόπιστες πηγές, όπως το Google Play Store ή το Apple App Store. Αυτά τα καταστήματα εφαρμογών έχουν αυστηρές διαδικασίες ελέγχου για την ανίχνευση και την απομάκρυνση κακόβουλων εφαρμογών. Ακόμα και σε περίπτωση που περάσει κάποιο malware, όπως το Anatsa banking trojan, είναι σίγουρα καλύτερη επιλογή από τα καταστήματα τρίτων.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από τους τελευταίους τρόπους επίθεσης που χρησιμοποιούν οι κακοποιοί.
Επίσης, θα πρέπει να χρησιμοποιείτε ένα αξιόπιστο λογισμικό ασφαλείας ή antivirus. Αυτά τα προγράμματα μπορούν να σαρώνουν τη συσκευή σας για κακόβουλο λογισμικό, όπως το Anatsa banking trojan, και να σας προειδοποιούν όταν μια εφαρμογή προσπαθεί να εκτελέσει ύποπτες ενέργειες.
Τέλος, είναι σημαντικό να είστε προσεκτικοί με τα δικαιώματα που παρέχετε στις εφαρμογές. Μην επιτρέπετε σε μια εφαρμογή να έχει πρόσβαση σε προσωπικές ή ευαίσθητες πληροφορίες, εκτός εάν είναι απαραίτητο για τη λειτουργία της. Εάν μια εφαρμογή ζητά περισσότερα δικαιώματα από ό,τι φαίνεται ότι χρειάζεται, είναι καλύτερο να είστε επιφυλακτικοί και να αποφύγετε την εγκατάσταση της.
Πηγή: thehackernews.com