Google Play umacnia zabezpieczenia, Android ma coraz więcej obostrzeń. Mimo tego dobrze znany trojan bankowy poszerzył zasięg o kolejne kraje.
Mowa o androidowym trojanie bankowym Anatsa. Szkodliwe narzędzie jest aktywne od co najmniej marca 2023 roku. Atakowało wtedy klientów banków w USA, Wielkiej Brytanii, Niemczech, Austrii i Szwajcarii. Pod koniec 2023 roku ruszyła kolejna kampania, która objęła Czechy, Słowację i Słowenię. Tylko czekać, aż specjaliści znajdą tego trojana w Polsce. Cyberprzestępcy celowo kierują kampanie do konkretnych krajów. To pozwala im przygotować się do atakowania ograniczonej liczby celów finansowych (podszywania się pod małą liczbę banków) i szybko oszukać dużą grupę ofiar.
Anatsa, znana również jako TeaBot i Toddler, rozprzestrzenia się pod przykrywką pozornie nieszkodliwych aplikacji w Google Play. Przy tym cyberprzestępcy wykorzystują różne techniki ukrywania szkodliwego komponentu przed zabezpieczeniami Google, w tym wersjonowanie, czyli dodawanie trojana już po umieszczeniu apki w sklepie. To zachowanie zostało zaobserwowane przy dostarczaniu zagrożeń SharkBot, Joker, a ostatnio także w przypadku aplikacji „Phone Cleaner - File Explorer”, usuniętej z Google Play w listopadzie 2023 roku. Ta ostatnia rozprowadzała właśnie trojana Anatsa i zanotowała 13 tysięcy pobrań w ciągu dwóch tygodni obecności w sklepie.
Przez pierwszy tydzień apka zachowywała się normalnie. Dopiero gdy uśpiła czujność wszystkich zainteresowanych, autorzy wydali aktualizację ze szkodliwym kodem i zmienili działanie funkcji korzystających z ułatwień dostępu. Z dnia na dzień stało się możliwe automatyczne „klikanie” w przyciski i odbieranie poleceń od serwerów sterujących.
Zobacz: Lepiej usuń to z telefonu. Robi przelewy na obce konta
Zobacz: Sklep Play wciąż źródłem syfu: cztery trojany czyszczą konta
W ostatniej fali ataków specjaliści zidentyfikowali w Google Play 5 aplikacji, które dostarczały trojana na smartfony ofiar. Apki te miały w sumie ponad 100 tysięcy instalacji. Wygląda też na to, że zabezpieczenia wprowadzone przez Google wymagają jeszcze dopracowania. „Niektóre aplikacje rozprzestrzeniające z tej kampanii wykorzystały usługi ułatwienia dostępu, pomimo ulepszonych mechanizmów wykrywania i ochrony Google Play” – można przeczytać w raporcie ThreatFabric na ten temat. Wszystkie aplikacje rozprzestrzeniające z kampanii wymierzonej przeciwko Czechom, Słowakom i Słoweńcom były zdolne do ominięcia ograniczeń, jakimi obwarowane są ułatwienia dostępu w systemie Android 13.
Trojan Anatsa został uzbrojony w funkcje umożliwiające uzyskanie pełnej kontroli nad zainfekowanymi urządzeniami i wykonywanie działań „w imieniu” ofiary. Może również kraść dane uwierzytelniające, co umożliwia przestępcom przeprowadzanie transakcji na własną korzyść.
Aplikacje rozprowadzające trojana nie są już dostępne w Google Play, ale wciąż są pobierane z innych źródeł. Co ciekawe, apki zostały przygotowane głównie do atakowania urządzeń marki Samsung, co widać po niektórych funkcjach.
Źródło zdjęć: Koshiro K / Shutterstock
Źródło tekstu: Threat Fabric