DAJ CYNK

Pluskwa w telefonie. Lepiej usuń, albo ci wyssie pieniądze z konta

Anna Rymsza

Bezpieczeństwo

Pluskwa w telefonie. Lepiej usuń, albo ci wyssie pieniądze z konta

Google Play umacnia zabezpieczenia, Android ma coraz więcej obostrzeń. Mimo tego dobrze znany trojan bankowy poszerzył zasięg o kolejne kraje.

Dalsza część tekstu pod wideo
 

Mowa o androidowym trojanie bankowym Anatsa. Szkodliwe narzędzie jest aktywne od co najmniej marca 2023 roku. Atakowało wtedy klientów banków w USA, Wielkiej Brytanii, Niemczech, Austrii i Szwajcarii. Pod koniec 2023 roku ruszyła kolejna kampania, która objęła Czechy, Słowację i Słowenię. Tylko czekać, aż specjaliści znajdą tego trojana w Polsce. Cyberprzestępcy celowo kierują kampanie do konkretnych krajów. To pozwala im przygotować się do atakowania ograniczonej liczby celów finansowych (podszywania się pod małą liczbę banków) i szybko oszukać dużą grupę ofiar.

Szkodliwe aplikacje w Google Play

Anatsa, znana również jako TeaBot i Toddler, rozprzestrzenia się pod przykrywką pozornie nieszkodliwych aplikacji w Google Play. Przy tym cyberprzestępcy wykorzystują różne techniki ukrywania szkodliwego komponentu przed zabezpieczeniami Google, w tym wersjonowanie, czyli dodawanie trojana już po umieszczeniu apki w sklepie. To zachowanie zostało zaobserwowane przy dostarczaniu zagrożeń SharkBot, Joker, a ostatnio także w przypadku aplikacji „Phone Cleaner - File Explorer”, usuniętej z Google Play w listopadzie 2023 roku. Ta ostatnia rozprowadzała właśnie trojana Anatsa i zanotowała 13 tysięcy pobrań w ciągu dwóch tygodni obecności w sklepie.

Przez pierwszy tydzień apka zachowywała się normalnie. Dopiero gdy uśpiła czujność wszystkich zainteresowanych, autorzy wydali aktualizację ze szkodliwym kodem i zmienili działanie funkcji korzystających z ułatwień dostępu. Z dnia na dzień stało się możliwe automatyczne „klikanie” w przyciski i odbieranie poleceń od serwerów sterujących.

Zobacz: Lepiej usuń to z telefonu. Robi przelewy na obce konta
Zobacz: Sklep Play wciąż źródłem syfu: cztery trojany czyszczą konta

W ostatniej fali ataków specjaliści zidentyfikowali w Google Play 5 aplikacji, które dostarczały trojana na smartfony ofiar. Apki te miały w sumie ponad 100 tysięcy instalacji. Wygląda też na to, że zabezpieczenia wprowadzone przez Google wymagają jeszcze dopracowania. „Niektóre aplikacje rozprzestrzeniające z tej kampanii wykorzystały usługi ułatwienia dostępu, pomimo ulepszonych mechanizmów wykrywania i ochrony Google Play” – można przeczytać w raporcie ThreatFabric na ten temat. Wszystkie aplikacje rozprzestrzeniające z kampanii wymierzonej przeciwko Czechom, Słowakom i Słoweńcom były zdolne do ominięcia ograniczeń, jakimi obwarowane są ułatwienia dostępu w systemie Android 13.

Trojan Anatsa został uzbrojony w funkcje umożliwiające uzyskanie pełnej kontroli nad zainfekowanymi urządzeniami i wykonywanie działań „w imieniu” ofiary. Może również kraść dane uwierzytelniające, co umożliwia przestępcom przeprowadzanie transakcji na własną korzyść.

Aplikacje rozprowadzające trojana nie są już dostępne w Google Play, ale wciąż są pobierane z innych źródeł. Co ciekawe, apki zostały przygotowane głównie do atakowania urządzeń marki Samsung, co widać po niektórych funkcjach.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Koshiro K / Shutterstock

Źródło tekstu: Threat Fabric