Anatsa Android bankarski trojanac proširio je svoju listu meta na nove zemlje i dodatne aplikacije za kriptovalute, upozorava kompanija za sajber bezbjednost Zscaler.
Aktivan od 2020. godine, Anatsa omogućava hakerima da preuzmu kontrolu nad zaraženim uređajima i izvode lažne transakcije, kao i druge akcije u ime svojih žrtava.
Prošle godine ovaj trojanac je ciljao preko 600 finansijskih aplikacija, nakon što se proširio na više evropskih zemalja. Sada ga istraživači uočavaju i u Njemačkoj i Južnoj Koreji, gdje napada korisnike mobilnih uređaja i cilja više od 150 novih bankarskih i kripto aplikacija.
Malver se distribuiše preko lažnih aplikacija dostupnih na zvaničnom Google Play Store-u, od kojih su neke imale preko 50.000 preuzimanja. Nakon instalacije, aplikacije se povezuju sa komandno-kontrolnim (C&C) serverom trojanca i neprimjetno preuzimaju maliciozni payload predstavljen kao ažuriranje.
Aplikacije koriste brojne anti-analitičke i anti-detekcione tehnike, uključujući dešifrovanje stringova u realnom vremenu pomoću dinamički generisanog DES ključa, provjere emulacije i modela uređaja, kao i periodičnu promjenu naziva paketa i instalacionog hasha.
Kada se aktivira na uređaju, Anatsa traži accessibility privilegije i automatski omogućava sve dozvole iz manifest fajla, što mu dozvoljava da prikazuje overlaje preko aplikacija, manipuliše notifikacijama i prima te čita SMS poruke.
Malver zatim može primati komande sa C&C servera i prikazivati lažne login stranice banaka radi krađe kredencijala. Prema izvještaju Zscalera, neke od ovih fišing stranica još uvijek nisu kompletirane.
Kompanija je identifikovala i prijavila Google-u 77 malicioznih aplikacija koje su distribuisale Anatsu i druge porodice malvera, a koje su zajedno imale preko 19 miliona preuzimanja. Najveći dio njih širio je adware (66,4%) i Joker malver (24,7%).
„Anatsa nastavlja da se razvija i unapređuje svoje anti-analitičke tehnike kako bi lakše izbjegla detekciju. […] Android korisnici bi uvijek trebalo da provjeravaju dozvole koje aplikacije zahtijevaju i da se uvjere da one odgovaraju deklarisanoj funkcionalnosti aplikacije,“ upozorava Zscaler.
Izvor: SecurityWeek
