Malware Anatsa pro Android se dočkal přes 150 000 stažení přes Google Play

by | Bře 20, 2024 | Aktuální hrozby, Bezpečná domácnost, Bezpečná firma, Cybernews, Mobilní zařízení a sociální sítě | 0 comments

Bankovní trojský kůň Anatsa se zaměřuje na uživatele v Evropě a infikuje zařízení se systémem Android prostřednictvím malwarových dropperů umístěných na Google Play.

Během posledních čtyř měsíců zaznamenali bezpečnostní výzkumníci pět kampaní, které byly přizpůsobeny k doručení malwaru uživatelům ve Velké Británii, Německu, Španělsku, na Slovensku, ve Slovinsku a v České republice.

Výzkumníci společnosti ThreatFabric, která se zabývá detekcí podvodů, zaznamenali od listopadu nárůst aktivity Anatsy, která zaznamenala nejméně 150 000 infekcí.

Každá vlna útoků se zaměřuje na konkrétní geografické regiony a využívá dropper aplikace vytvořené tak, aby se dostaly do kategorií “Top New Free” na Google Play, což jim dodává důvěryhodnost a zvyšuje úspěšnost.

Zpráva ThreatFabric uvádí, že dropper aplikace nyní implementují vícestupňový proces infekce a vyvinuly se tak, aby zneužívaly službu zpřístupnění systému Android k obcházení bezpečnostních opatření přítomných ve verzích mobilního operačního systému až do Androidu 13.

Loni v létě ThreatFabric varoval před jinou kampaní Anatsa zaměřenou na Evropu, která rovněž využívala dropper aplikace hostované na Google Play, především falešné aplikace pro prohlížení PDF.

Dropper aplikace Anatsa

V nejnovější kampani Anatsa používají provozovatelé malwaru jak aplikace pro prohlížení PDF, tak falešné čisticí aplikace, které slibují uvolnění místa v zařízení odstraněním nepotřebných souborů.

Jedním z příkladů, na který upozorňují výzkumníci ThreatFabric, je aplikace s názvem “Phone Cleaner – File Explorer”, u které bylo napočítáno více než 10 000 stažení.

Společnost ThreatFabric sdělila serveru BleepingComputer, že jedna z kampaní Anatsa používala také další aplikaci s názvem “PDF Reader: Správce souborů’, která zaznamenala více než 100 000 stažení.

V době psaní tohoto článku společnost Google odstranila všechny dropper aplikace Anatsa z oficiálního obchodu pro Android s výjimkou aplikace PDF Reader, která je nadále k dispozici.

Výzkumníci ThreatFabric nám sdělili, že počet 150 000 stažení dropperů Anatsa v Google Play je konzervativní a skutečné číslo by se blížilo 200 000, protože pro sčítání použili nižší odhady.

Pět škodlivých aplikací je následujících:

Phone Cleaner – File Explorer (com.volabs.androidcleaner).

PDF Viewer – File Explorer (com.xolab.fileexplorer)

PDF Reader – Prohlížeč a editor (com.jumbodub.fileexplorerpdfviewer)

Phone Cleaner (Čistič telefonu): Průzkumník souborů (com.appiclouds.phonecleaner)

Čtečka souborů PDF (PDF Reader): Správce souborů (com.tragisoap.fileandpdfmanager)

Vzhledem k tomu, že Anatsa neustále spouští nové vlny útoků pomocí čerstvých dropper aplikací, očekává se, že celkový počet stažení se bude dále zvyšovat.  Již nyní překročil 130 000, kterých Anatsa dosáhla v první polovině roku 2023.

Technické podrobnosti

Technické poznatky ze zprávy ThreatFabric odhalují, že dropper aplikace používají vícestupňový přístup, aby se vyhnuly detekci, a dynamicky stahují škodlivé komponenty z příkazového a řídicího serveru (C2).

Pozoruhodná strategie zahrnuje zneužití služby AccessibilityService, která je v minulosti vektorem pro malware k automatické instalaci užitečného zatížení bez interakce uživatele.

Malware zneužívající tuto výkonnou službu systému Android vytvořenou na pomoc uživatelům se zdravotním postižením se vyskytuje často, a to i přes nedávné aktualizace zásad společnosti Google, které zavedly omezení pro boj proti tomuto zneužívání.

Oprávnění dropperů Anatsa k přístupu ke službě Accessibility Service bylo maskováno potřebou “hibernace aplikací vyčerpávajících baterii”, což se v kontextu čistící aplikace jeví jako legitimní funkce.

Společnost Threat Fabric v jednom případě zjistila, že aktualizace škodlivého kódu byla zavedena týden po nahrání dropper aplikace na Google Play a přidala parametry navigace v uživatelském rozhraní, které odpovídají parametrům zařízení Samsung (One UI).

Akce specifické pro Samsung

Další droppery použité ve stejné kampani neobsahují kód specifický pro daného výrobce, a cílí tak na širší výběr zařízení se systémem Android.

Aktualizace škodlivého kódu je z C2 stahována ve čtyřech různých krocích, což je pravděpodobně taktika, jak se vyhnout detekci a označení mechanismy kontroly kódu společnosti Google. Získání konfigurace: Stažení konfigurace ze serveru C2 obsahující základní řetězce pro škodlivý kód, čímž se zabrání okamžité detekci skrytím podezřelých indikátorů.

Stažení souboru DEX: Stáhne soubor DEX se škodlivým kódem zodpovědným za instalaci užitečného zatížení, který se aktivuje pomocí dříve stažených řetězců.

Konfigurace adresy URL užitečného zatížení: Stáhne konfigurační soubor s adresou URL pro užitečné zatížení, což útočníkům umožňuje aktualizovat odkaz na užitečné zatížení podle potřeby.

Instalace užitečného zatížení: Použije soubor DEX ke stažení, instalaci a spuštění škodlivého softwaru Anatsa, čímž dokončí proces infekce.

Proces načítání užitečného zatížení (Threat Fabric)

Šíření kampaně Anatsa je významné a je spojeno s rizikem finančních podvodů. Uživatelům systému Android doporučujeme, aby si před instalací aplikace pečlivě prohlédli hodnocení uživatelů a historii vydavatele.

Dobrým způsobem, jak zůstat chráněni, je vyhnout se aplikacím zvyšujícím výkon, produktivitu a bezpečné zasílání zpráv, které nepocházejí od dodavatelů se zavedenou pověstí.

Při instalaci nových aplikací se důrazně doporučuje zkontrolovat seznam požadovaných oprávnění a odmítnout ta, která nesouvisejí s účelem aplikace (např. aplikace pro úpravu fotografií nepotřebuje přístup k mikrofonu).

Při instalaci nových aplikací pečlivě kontrolujte požadovaná oprávnění, zejména ta, která se týkají služby zpřístupnění, což by mělo být vnímáno jako červený praporek potenciálních hrozeb malwaru.

Aktualizace 19. 2. – Mluvčí společnosti Google zaslal BleepingComputer následující komentář:

Všechny aplikace uvedené ve zprávě byly z Google Play odstraněny.

Uživatelé systému Android jsou automaticky chráněni před známými verzemi tohoto malwaru pomocí funkce Google Play Protect, která je ve výchozím nastavení zapnutá na zařízeních se systémem Android a službami Google Play.

Google Play Protect může uživatele varovat nebo blokovat aplikace, o nichž je známo, že vykazují škodlivé chování, a to i v případě, že tyto aplikace pocházejí ze zdrojů mimo službu Play.

Jakub Drábek, redakce Cyberblog, Zdroj: Threatfabric, Foto: Unsplash
0 Comments
Submit a Comment
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.