Google Play: Anatsa Android Banking Malware iz Google Playa cilja korisnike u SAD-u i Kanadi, zaštitite svoje finansijske podatke

Istraživači iz ThreatFabric-a identifikovali su novu sofisticiranu kampanju Anatsa bankarskog trojanca, usmjerenu na korisnike mobilnog bankarstva širom Sjedinjenih Država i Kanade, što predstavlja treću veliku ofanzivu ovog malicioznog softvera protiv sjevernoameričkih finansijskih institucija.

Ova najnovija kampanja predstavlja značajnu eskalaciju u oblasti prijetnji, jer su sajberkriminalci uspješno infiltrirali zvaničnu Google Play prodavnicu kako bi distribuisali svoj maliciozni teret prerušen u legitimne aplikacije.

Bezbjednosni istraživači izvještavaju da je maliciozni softver već postigao preko 50.000 preuzimanja prije nego što je otkriven i uklonjen.

Anatsa, poznat i kao TeaBot, je visokosofisticirani bankarski trojanac kojeg stručnjaci za sajber bezbjednost prate od 2020. godine.

Ovaj maliciozni softver specijalizovao se za napade preuzimanja kontrole nad uređajima, omogućavajući sajberkriminalcima da ukradu bankarske akreditive putem overlay napada, bilježe unos podataka na tastaturi i izvršavaju lažne transakcije direktno sa zaraženih uređaja.

Istraživači ThreatFabric-a klasifikuju grupu odgovornu za Anatsa kao “jednog od najplodnijih operatera u krajoliku mobilnog kriminalnog softvera”, napominjući njihove dosljedno visoke stope uspješnosti u više kampanja. Kampanja Anatsa slijedi proračunati višestepeni pristup osmišljen da izbjegne detekciju.

Akteri prijetnji prvo uspostavljaju legitimne developerske profile na Google Play-u i postavljaju naizgled bezopasne aplikacije poput čitača PDF dokumenata, čistača telefona ili upravitelja fajlova.

Ove aplikacije funkcionišu normalno sedmicama ili mjesecima, stičući značajnu korisničku bazu prije nego što se uvedu maliciozna ažuriranja. Najnovija sjevernoamerička kampanja služi kao primjer ove strategije.

Maliciozna aplikacija za čitanje PDF dokumenata popela se na treće mjesto u kategoriji “Najbolji besplatni alati” na američkoj Google Play prodavnici prije nego što je, otprilike šest sedmica nakon prvog objavljivanja, pretvorena u oružje.

Bezbjednosna analiza pokazuje da Anatsa koristi posebno obmanjujuće overlay napade usmjerene na bankarske aplikacije. Kada žrtve pokušaju pristupiti svojim aplikacijama za mobilno bankarstvo, maliciozni softver prikazuje lažne poruke o održavanju koje glase: “Zakazano održavanje: Trenutno poboljšavamo naše usluge i uskoro ćemo sve vratiti u funkciju. Hvala na strpljenju.”

Ova taktika služi dvostrukoj svrsi: prikrivanju malicioznih aktivnosti, istovremeno sprječavajući korisnike da kontaktiraju legitimnu korisničku podršku, čime se odgađa otkrivanje lažnih operacija.

Trenutna kampanja demonstrira Anatsine rastuće ambicije, pri čemu istraživači bilježe širi spisak meta koji obuhvata veći broj američkih aplikacija za mobilno bankarstvo. Maliciozni softver sada može ciljati preko 650 finansijskih institucija širom svijeta, s posebnim fokusom na velike sjevernoameričke banke uključujući JP Morgan, Capital One, TD Bank i Schwab. Kratki, ali uticajni period distribucije od 24. do 30. juna naglašava sposobnost operatera da maksimiziraju štetu, istovremeno minimizirajući izloženost bezbjednosnim mjerama.

Stručnjaci za sajber bezbjednost pozivaju finansijske institucije da hitno obavijeste korisnike o rizicima preuzimanja aplikacija iz bilo kojeg izvora, uključujući zvanične prodavnice aplikacija. Organizacijama se savjetuje da implementiraju pojačano praćenje neuobičajenih aktivnosti na korisničkim računima i edukuju korisnike o opasnostima odobravanja dozvola za usluge pristupačnosti aplikacijama kojima to nije potrebno. Kampanja Anatsa naglašava evoluirajući pejzaž prijetnji s kojim se suočavaju korisnici mobilnog bankarstva, pokazujući da čak ni zvanične prodavnice aplikacija ne mogu garantovati potpunu zaštitu od sofisticiranih malicioznih softverskih operacija usmjerenih na finansijska sredstva.

Upozorenje je objavljeno na blogu bezbjednosne firme ThreatFabric, detaljno opisujući kampanju Anatsa bankarskog trojanca. Metodologija napada uključuje distribuciju malicioznog softvera putem Google Play prodavnice, prerušenog u legitimne aplikacije kao što su čitači PDF-a ili alati za čišćenje telefona. Prevaranti, poznati kao “proizvođači”, mame žrtve tako što prvo stvaraju povjerenje tako što aplikacije objavljuju kao funkcionalne alate, a zatim nakon nekog vremena uvode maliciozna ažuriranja. Ovim ažuriranjima, maliciozni softver Anatsa koristi overlay napade, prikazujući lažne poruke o održavanju kako bi prevario korisnike dok kradu njihove bankarske akreditive i izvršavaju lažne transakcije. Cilj je da se korisnici spriječe da kontaktiraju legitimnu podršku, čime se odgađa otkrivanje prevare. Ova taktika je slična drugim nedavnim kampanjama gdje su maliciozne aplikacije uspjele prikupiti značajan broj preuzimanja prije nego što su otkrivene, što ukazuje na sofisticiranost i upornost ovih sajberkriminalnih grupa.

Recent Articles

spot_img

Related Stories