The Android banking trojan Anatsa στοχεύει τώρα χρήστες σε περισσότερες χώρες, συμπεριλαμβανομένης της Σλοβακίας, της Σλοβενίας και της Τσεχίας. Ερευνητές ασφαλείας της ThreatFabric παρατήρησαν τη νέα καμπάνια το Νοέμβριο του 2023.
“Μερικά από τα droppers στην καμπάνια αυτή εκμεταλλεύτηκαν με επιτυχία την υπηρεσία προσβασιμότητας, παρά τους βελτιωμένους μηχανισμούς ανίχνευσης και προστασίας του Google Play“, reported η ThreatFabric.
Η καμπάνια, συνολικά, περιλαμβάνει πέντε droppers με περισσότερες από 100.000 εγκαταστάσεις συνολικά.
See also: Coyote banking trojan has infected 61 banking applications
Το Android banking trojan Anatsa είναι γνωστό και με τα ονόματα TeaBot and Toddler, και διανέμεται μέσω φαινομενικά αβλαβών εφαρμογών στο Google Play Store. Αυτές οι εφαρμογές, που ονομάζονται droppers, διευκολύνουν την εγκατάσταση του κακόβουλου λογισμικού, παρακάμπτοντας μέτρα ασφαλείας της Google που εκθέτουν ευαίσθητες άδειες.
Τον Ιούνιο του 2023, η εταιρεία αποκάλυψε μια καμπάνια Anatsa που στόχευε τραπεζικούς πελάτες στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία, την Αυστρία και την Ελβετία. Αυτή η καμπάνια είχε ξεκινήσει τουλάχιστον από τον Μάρτιο του 2023, χρησιμοποιώντας εφαρμογές dropper που είχαν περάσει στο Play Store και είχαν πάνω από 30.000 εγκαταστάσεις.
Το Anatsa banking trojan μπορεί να αποκτήσει τον πλήρη έλεγχο των μολυσμένων συσκευών και να εκτελεί ενέργειες για λογαριασμό του θύματος. Μπορεί επίσης να κλέψει credentials για να ξεκινήσει δόλιες συναλλαγές.
Στην πιο πρόσφατη καμπάνια που παρατηρήθηκε τον Νοέμβριο του 2023, οι εφαρμογές dropper μεταμφιέζονται σε εφαρμογή καθαρισμού τηλεφώνου με το όνομα “Phone Cleaner – File Explorer” (όνομα πακέτου “com.volabs.androidcleaner”). Οι επιτιθέμενοι χρησιμοποίησαν μια τεχνική που ονομάζεται versioning για να εισαγάγουν την κακόβουλη συμπεριφορά.
Αξίζει να σημειωθεί ότι τώρα η εφαρμογή δεν είναι πλέον διαθέσιμη για λήψη από το Google Play, αλλά μπορεί να γίνει λήψη μέσω άλλων πηγών.
See also: Mispadu banking trojan: Exploits Windows SmartScreen vulnerability
According to στατιστικά στοιχεία of AppBrain, η εφαρμογή με το Anatsa εκτιμάται ότι είχε ληφθεί περίπου 12.000 φορές όσο ήταν διαθέσιμη στο Google Play Store (μεταξύ 13 Νοεμβρίου και 27 Νοεμβρίου).
“Αρχικά, η εφαρμογή φαινόταν αβλαβής, χωρίς κακόβουλο κώδικα και η υπηρεσία προσβασιμότητας δεν εμπλεκόταν σε επιβλαβείς δραστηριότητες“, δήλωσαν οι ερευνητές της ThreatFabric. “Ωστόσο, μια εβδομάδα μετά την κυκλοφορία της, μια ενημερωμένη έκδοση εισήγαγε κακόβουλο κώδικα. Αυτή η ενημέρωση άλλαξε τη λειτουργία AccessibilityService, επιτρέποντάς της να εκτελεί κακόβουλες ενέργειες“.
Αυτό που ξεχωρίζει το συγκεκριμένο dropper είναι η κατάχρηση της υπηρεσίας προσβασιμότητας σε συσκευές Samsung. Επομένως, φαίνεται να σχεδιάστηκε για να στοχεύει αποκλειστικά τις συσκευές της εταιρείας, αν και έχουν βρεθεί και κάποια άλλα droppers.
Τα droppers μπορούν επίσης να παρακάμψουν τα restricted settings του Android 13 μιμούμενα τη διαδικασία που χρησιμοποιούν οι αγορές για την εγκατάσταση νέων εφαρμογών, χωρίς να έχει απενεργοποιηθεί η πρόσβαση στα accessibility service functionalities.
“Αυτοί οι παράγοντες απειλών προτιμούν τις συγκεντρωμένες επιθέσεις σε συγκεκριμένες περιοχές παρά μια παγκόσμια εξάπλωση, μετατοπίζοντας περιοδικά την εστίασή τους“, δήλωσε η ThreatFabric. “Αυτή η στοχευμένη προσέγγιση τους δίνει τη δυνατότητα να επικεντρωθούν σε περιορισμένο αριθμό χρηματοπιστωτικών οργανισμών, οδηγώντας σε μεγάλο αριθμό υποθέσεων απάτης σε σύντομο χρονικό διάστημα“.
See also: Grandoreiro Banking Trojan: Brazilian authorities have arrested those responsible
Προστασία από Android banking trojans
Τα Android Banking Trojans είναι κακόβουλα λογισμικά που στοχεύουν στην κλοπή των προσωπικών και τραπεζικών στοιχείων των χρηστών. Για να προστατεύσετε το smartphone σας, είναι σημαντικό να εγκαθιστάτε εφαρμογές μόνο από αξιόπιστες πηγές, όπως το Google Play Store ή το Apple App Store. Αυτά τα καταστήματα εφαρμογών έχουν αυστηρές διαδικασίες ελέγχου για την ανίχνευση και την απομάκρυνση κακόβουλων εφαρμογών. Ακόμα και σε περίπτωση που περάσει κάποιο malware, όπως το Anatsa banking trojan, είναι σίγουρα καλύτερη επιλογή από τα καταστήματα τρίτων.
In addition, it is important to keep your operating system and applications up to date. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από τους τελευταίους τρόπους επίθεσης που χρησιμοποιούν οι κακοποιοί.
Επίσης, θα πρέπει να χρησιμοποιείτε ένα αξιόπιστο λογισμικό ασφαλείας ή antivirus. Αυτά τα προγράμματα μπορούν να σαρώνουν τη συσκευή σας για κακόβουλο λογισμικό, όπως το Anatsa banking trojan, και να σας προειδοποιούν όταν μια εφαρμογή προσπαθεί να εκτελέσει ύποπτες ενέργειες.
Finally, it is important to be προσεκτικοί με τα δικαιώματα που παρέχετε στις εφαρμογές. Μην επιτρέπετε σε μια εφαρμογή να έχει πρόσβαση σε προσωπικές ή ευαίσθητες πληροφορίες, εκτός εάν είναι απαραίτητο για τη λειτουργία της. Εάν μια εφαρμογή ζητά περισσότερα δικαιώματα από ό,τι φαίνεται ότι χρειάζεται, είναι καλύτερο να είστε επιφυλακτικοί και να αποφύγετε την εγκατάσταση της.
Source: thehackernews.com