Το τραπεζικό trojan Anatsa στοχεύει χρήστες στην
Ευρώπη
μολύνοντας συσκευές Android μέσω droppers κακόβουλου λογισμικού που φιλοξενούνται στο Google Play.
Τους τελευταίους τέσσερις μήνες,
ερευνητές
ασφαλείας παρατήρησαν πέντε καμπάνιες προσαρμοσμένες για την παράδοση του κακόβουλου λογισμικού σε χρήστες στο Ηνωμένο Βασίλειο, τη
Γερμανία
, την Ισπανία, τη Σλοβακία, τη Σλοβενία και την Τσεχική Δημοκρατία.
Οι ερευνητές της εταιρείας ανίχνευσης απάτης ThreatFabric παρατήρησαν αύξηση της δραστηριότητας της Anatsa από τον Νοέμβριο, με τουλάχιστον 150.000 μολύνσεις.
Κάθε κύμα επίθεσης εστιάζει σε συγκεκριμένες γεωγραφικές περιοχές και χρησιμοποιεί εφαρμογές dropper που έχουν δημιουργηθεί για να φτάνουν στις κατηγορίες “Κορυφαίες νέες δωρεάν” στο Google Play, προσδίδοντάς τους αξιοπιστία και αυξάνοντας το ποσοστό επιτυχίας.
ThreatFabric’s
σημειώσεις αναφοράς
ότι οι εφαρμογές dropper εφαρμόζουν τώρα μια διαδικασία μόλυνσης πολλαπλών σταδίων και έχουν εξελιχθεί σε κατάχρηση της Υπηρεσίας Προσβασιμότητας του Android για να παρακάμψουν τα μέτρα ασφαλείας που υπάρχουν σε εκδόσεις του λειτουργικού συστήματος για κινητά έως το Android 13.
Το περασμένο καλοκαίρι, η ThreatFabric προειδοποίησε για μια άλλη καμπάνια Anatsa με επίκεντρο την Ευρώπη, η οποία χρησιμοποιούσε επίσης εφαρμογές dropper που φιλοξενούνται στο Google Play, κυρίως ψεύτικες εφαρμογές προβολής PDF.
Εφαρμογές σταγονόμετρου Anatsa
Στην τελευταία καμπάνια Anatsa, οι χειριστές κακόβουλου λογισμικού χρησιμοποιούν εφαρμογές PDF και ψεύτικες καθαριστικές εφαρμογές που υπόσχονται να ελευθερώσουν χώρο στη συσκευή διαγράφοντας περιττά αρχεία.
Ένα παράδειγμα που επισημαίνουν οι ερευνητές του ThreatFabric είναι μια εφαρμογή με το όνομα «Phone Cleaner – File Explorer», η οποία μετρήθηκε πάνω από 10.000 λήψεις.
Εφαρμογή σταγονόμετρου Anatsa
(Υφασμα απειλής)
Η ThreatFabric είπε στο BleepingComputer ότι μια καμπάνια Anatsa χρησιμοποίησε επίσης μια άλλη εφαρμογή που ονομάζεται «PDF Reader: File Manager», η οποία κατέγραψε περισσότερες από 100.000 λήψεις.
Τη στιγμή της σύνταξης, η Google αφαίρεσε όλες τις εφαρμογές dropper Anatsa από το επίσημο κατάστημα Android εκτός από το PDF Reader, το οποίο συνεχίζει να είναι διαθέσιμο.
Κακόβουλη εφαρμογή ανάγνωσης PDF
(BleepingComputer)
Οι ερευνητές του ThreatFabric μάς είπαν ότι ο αριθμός των 150.000 λήψεων για τα droppers του Anatsa στο Google Play είναι συντηρητικός και ο πραγματικός αριθμός θα πλησιάζει τις 200.000, επειδή χρησιμοποίησαν τις χαμηλότερες εκτιμήσεις για τον απολογισμό.
Οι πέντε κακόβουλες εφαρμογές είναι:
-
Phone Cleaner – File Explorer
(com.volabs.androidcleaner) -
Προβολή PDF –
Εξερεύνηση αρχείων
(com.xolab.fileexplorer) -
PDF Reader – Viewer & Editor
(com.jumbodub.fileexplorerpdfviewer) -
Phone Cleaner: File Explorer
(com.appiclouds.phonecleaner) -
Αναγνώστης PDF: Διαχείριση αρχείων
(com.tragisoap.fileandpdfmanager)
Λαμβάνοντας υπόψη ότι το Anatsa εκτοξεύει συνεχώς νέα κύματα επίθεσης χρησιμοποιώντας νέες εφαρμογές dropper, ο συνολικός αριθμός των λήψεων αναμένεται να αυξηθεί περαιτέρω. Ήδη, έχει ξεπεράσει τις 130.000 που πέτυχε η Anatsa το πρώτο εξάμηνο του 2023.
Τεχνικές λεπτομέρειες
Τεχνικές πληροφορίες από
Η αναφορά του ThreatFabric
αποκαλύπτουν ότι οι εφαρμογές σταγονόμετρου χρησιμοποιούν μια προσέγγιση πολλαπλών σταδίων για να αποφύγουν τον εντοπισμό, τη δυναμική λήψη κακόβουλων στοιχείων από έναν διακομιστή εντολών και ελέγχου (C2).
Ενημέρωση κακόβουλου κώδικα
(Υφασμα απειλής)
Μια αξιοσημείωτη στρατηγική περιλαμβάνει την κακή χρήση της AccessibilityService, ιστορικά φορέα για κακόβουλο λογισμικό για την αυτοματοποίηση της εγκατάστασης ωφέλιμου φορτίου χωρίς αλληλεπίδραση με τον χρήστη.
Το κακόβουλο λογισμικό που κάνει κατάχρηση αυτής της ισχυρής υπηρεσίας Android που δημιουργήθηκε για να βοηθήσει τους χρήστες με αναπηρίες εμφανίζεται συχνά, παρά τις πρόσφατες ενημερώσεις πολιτικής της Google που εισήγαγαν περιορισμούς για την καταπολέμηση της κακής χρήσης.
Η άδεια των σταγονόμετρων της Anatsa για πρόσβαση στην Υπηρεσία Προσβασιμότητας συγκαλύφθηκε από την ανάγκη “να αδρανοποιηθούν οι εφαρμογές που εξαντλούν την μπαταρία”, η οποία εμφανίζεται ως νόμιμη δυνατότητα στο πλαίσιο μιας πιο καθαρής εφαρμογής.
Η Threat Fabric διαπίστωσε σε μια περίπτωση ότι η ενημέρωση κακόβουλου κώδικα παρουσιάστηκε μια εβδομάδα μετά τη μεταφόρτωση της εφαρμογής dropper στο Google Play και πρόσθεσε παραμέτρους πλοήγησης διεπαφής χρήστη που ταιριάζουν με αυτές των συσκευών Samsung (One UI).
Ειδικές ενέργειες της Samsung
(Υφασμα απειλής)
Άλλα droppers που χρησιμοποιούνται στην ίδια καμπάνια δεν περιέχουν κώδικα συγκεκριμένου προμηθευτή, στοχεύοντας έτσι μια ευρύτερη επιλογή συσκευών Android.
Η ενημέρωση κακόβουλου κώδικα γίνεται λήψη από το C2 σε τέσσερα διακριτά βήματα, πιθανότατα μια τακτική αποφυγής εντοπισμού και επισήμανσης από τους μηχανισμούς ελέγχου κώδικα της Google.
-
Ανάκτηση διαμόρφωσης
: Λήψη διαμόρφωσης από τον διακομιστή C2 που περιέχει βασικές συμβολο
σειρές
για τον κακόβουλο κώδικα, αποφεύγοντας τον άμεσο εντοπισμό κρύβοντας ύποπτες ενδείξεις. -
Λήψη αρχείου DEX
: Ανακτά ένα αρχείο DEX με τον κακόβουλο κώδικα που είναι υπεύθυνος για την εγκατάσταση ωφέλιμου φορτίου, ο οποίος ενεργοποιείται από τις συμβολοσειρές που λάβατε προηγουμένως. -
Διαμόρφωση URL ωφέλιμου φορτίου
: Πραγματοποιεί λήψη ενός αρχείου διαμόρφωσης με τη διεύθυνση URL για το ωφέλιμο φορτίο, επιτρέποντας στους εισβολείς να ενημερώσουν τον σύνδεσμο ωφέλιμου φορτίου όπως απαιτείται. -
Εγκατάσταση ωφέλιμου φορτίου
: Χρησιμοποιεί το αρχείο DEX για λήψη, εγκατάσταση και εκκίνηση του κακόβουλου λογισμικού Anatsa, ολοκληρώνοντας τη διαδικασία μόλυνσης.
Διαδικασία ανάκτησης ωφέλιμου φορτίου
(Υφασμα απειλής)
Η εξάπλωση της καμπάνιας Anatsa είναι σημαντική και ενέχει τον κίνδυνο οικονομικής απάτης. Συνιστάται στους χρήστες Android να ελέγχουν προσεκτικά τις αξιολογήσεις χρηστών και το ιστορικό εκδοτών πριν εγκαταστήσουν μια εφαρμογή.
Ένας καλός τρόπος για να παραμείνετε προστατευμένοι είναι να αποφύγετε εφαρμογές που βελτιώνουν την απόδοση, την παραγωγικότητα και την ασφάλεια των μηνυμάτων που δεν προέρχονται από προμηθευτές με εδραιωμένη φήμη.
Κατά την εγκατάσταση νέων εφαρμογών, συνιστάται ανεπιφύλακτα να ελέγχετε τη λίστα των απαιτούμενων αδειών και να απορρίπτετε εκείνα που δεν σχετίζονται με το σκοπό της εφαρμογής (π.χ. μια εφαρμογή επεξεργασίας φωτογραφιών δεν χρειάζεται πρόσβαση στο μικρόφωνο).
Κατά την εγκατάσταση νέων εφαρμογών, ελέγχετε προσεκτικά τα ζητούμενα δικαιώματα, ιδιαίτερα εκείνα που σχετίζονται με την Υπηρεσία Προσβασιμότητας, η οποία θα πρέπει να θεωρείται ως κόκκινη σημαία για πιθανές απειλές κακόβουλου λογισμικού.
VIA:
bleepingcomputer.com