Οι χρήστες smartphone στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία, την Αυστρία και την Ελβετία δέχονται επίθεση από ένα Android trojan με την ονομασία “Anatsa”. Αυτό το trojan στοχεύει τους πελάτες ηλεκτρονικών τραπεζικών υπηρεσιών σε αυτές τις χώρες, ενώ μπορεί να επεκταθεί σε περισσότερες.
Οι αναλυτές της ThreatFabric παρακολουθούν campaigns που χρησιμοποιούν εφαρμογές που βρίσκονται στο Google Play Store και οι οποίες μεταφέρουν το νέο τραπεζικό trojan.
Στο πιο πρόσφατο campaign, το οποίο στοχεύει σε 600 οικονομικές εφαρμογές από όλο τον κόσμο, εμπλέκονται εφαρμογές που έχουν πάνω από 30.000 λήψεις. Στόχος είναι η κλοπή των διαπιστευτηρίων που χρησιμοποιούν οι πελάτες στις τραπεζικές εφαρμογές και η έναρξη δόλιων συναλλαγών μέσω της εκτέλεσης DTO (Device-Takeover Fraud).
Μετά από ένα διάλειμμα έξι μηνών, τον περασμένο Μάρτιο, το ThreatFabric είδε ενδείξεις για ένα νέο campaign με το Anatsa. Μια εφαρμογή που βρισκόταν στο Google Play Store και εμφανιζόταν ως πρόγραμμα ανάγνωσης PDF, κατέβαζε μέσω GitHub το payload μόλις εγκαθίστατο. Το payload ήταν μεταμφιεσμένο ως πρόσθετο στην αρχική εφαρμογή.
Μόλις η εφαρμογή αναφέρθηκε στη Google, αφαιρέθηκε από το Play Store. Αλλά ένα μήνα αργότερα, οι επιτιθέμενοι πρόσθεσαν στο κατάστημα εφαρμογών άλλη μια εφαρμογή. Αυτή τη φορά ήταν μια εφαρμογή προβολής PDF. Για άλλη μια φορά, ένα payload κατέβαινε μεταμφιεσμένο ως πρόσθετο της αρχικής εφαρμογής.
Όπως και προηγουμένως, η εφαρμογή αναφέρθηκε στη Google και αφαιρέθηκε από το Play Store. Όμως, όλο αυτό δεν φαίνεται να έχει τέλος. Ανακαλύφθηκαν τρεις ακόμα εφαρμογές στο Play Store τον περασμένο και αυτόν τον μήνα.
Χρειάζονται από μερικές ημέρες έως μερικές εβδομάδες για να καταχωρηθούν αυτές οι κακόβουλες εφαρμογές στο Play Store. Οπότε, ανά πάσα στιγμή υπάρχει στο Play Store μία εφαρμογή που κουβαλάει το Anatsa και περιμένει να εντοπιστεί, να αναφερθεί, και να απομακρυνθεί.
Σύμφωνα με το ThreatFabric, η ανάλυσή τους αποκαλύπτει ότι οι δράστες μπορούν να έχουν ταυτόχρονα πολλές εφαρμογές δημοσιευμένες στο κατάστημα , από διαφορετικούς λογαριασμούς προγραμματιστών.
Ωστόσο, μόνο μία ενεργεί ως κακόβουλη, ενώ οι άλλες είναι αντίγραφα ασφαλείας που θα χρησιμοποιηθούν μόλις η αρχική απομακρυνθεί από το κατάστημα εφαρμογών. Μια τέτοια τακτική βοηθά τους δράστες να διατηρούν πολύ μεγάλα campaign, ελαχιστοποιώντας τον χρόνο που απαιτείται για τη δημοσίευση μιας άλλης εφαρμογής που κουβαλάει το Anatsa.
Μόλις μία συσκευή μολυνθεί, το trojan μπορεί να συλλέξει ευαίσθητες πληροφορίες, όπως διαπιστευτήρια, στοιχεία πιστωτικής κάρτας, υπόλοιπο λογαριασμών, πληροφορίες συναλλαγών, και άλλα. Τα δεδομένα αυτά χρησιμοποιούνται από τους επιτιθέμενους για τη δημιουργία συναλλαγών με χρήση του τραπεζικού λογαριασμού του θύματος.
Δεδομένου ότι οι συναλλαγές αυτές χρησιμοποιούν τις ίδιες συσκευές που χρησιμοποιούν συνήθως οι πελάτες της τράπεζας που αποτελούν στόχο, είναι δύσκολο για τα anti-fraud συστήματα να εντοπίσουν τις παράνομες συναλλαγές.
Το 2021, το ThreatFabric ανακάλυψε ένα παλιό campaign του Anatsa στο Google Play, όταν το trojan εγκαταστάθηκε πάνω από 300.000 φορές από εφαρμογές που προσποιούνταν ότι ήταν σαρωτές PDF, σαρωτές κωδικών QR, εφαρμογές Adobe Illustrator, και εφαρμογές παρακολούθησης φυσικής κατάστασης.
Οι πιο πρόσφατες επιθέσεις με το Anatsa περιλαμβάνουν τις παρακάτω εφαρμογές. Αν και μπορεί να έχουν απομακρυνθεί από το Google Play Store, πιθανώς κάποιοι να τις έχουν περασμένες ακόμα στα τηλέφωνα τους ή να τις κατεβάσουν από άλλες πηγές. Οπότε, δίπλα στα ονόματα των εφαρμογών υπάρχουν αυτά των πακέτων τους, για πιο εύκολο εντοπισμό.
- PDF Reader – Edit & View PDF: lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools
- PDF Reader & Editor: com.proderstarler.pdfsignature
- PDF Reader & Editor: moh.filemanagerrespdf
- All Document Reader & Editor: com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs
- All Document Reader and Viewer: com.muchlensoka.pdfcreator
Ακόμη και αν έχουν αφαιρεθεί από το Play Store, σε περίπτωση που εξακολουθούν να είναι εγκατεστημένες στο τηλέφωνό σας, μπορούν να προκαλέσουν ζημιά. Πρέπει πάντα να θυμάστε ότι πρόκειται για τραπεζικά trojan που επιδιώκουν να αδειάσουν τους τραπεζικούς σας λογαριασμούς.
Οπότε, αν έχετε κάποια από αυτές τις πέντε στο Android smartphone σας, διαγράψτε τις αμέσως και φροντίστε να ελέγχετε το τραπεζικό σας υπόλοιπο για να βεβαιωθείτε ότι δεν συμβαίνει κάτι περίεργο.
