Αναγνώστης πλαστών εγγράφων στο Google Play με 10.000 λήψεις Εγκατάσταση κακόβουλου λογισμικού Anatsa

Μια νέα εφαρμογή ανάγνωσης πλαστών εγγράφων που βρέθηκε στο Google Play Store εγκαθιστά σιωπηλά το Anatsa, ένα ισχυρό trojan τραπεζικών τραπεζών Android, σε χιλιάδες συσκευές χρηστών.

Η κακόβουλη εφαρμογή ξεπέρασε τις 10.000 λήψεις πριν την καταργήσει η Google, θέτοντας σημαντικό αριθμό χρηστών Android σε άμεσο κίνδυνο οικονομικής απάτης και κλοπής διαπιστευτηρίων.

Το Anatsa δεν είναι νέο όνομα στην ασφάλεια κινητής τηλεφωνίας. Το κακόβουλο λογισμικό εμφανίστηκε για πρώτη φορά το 2020 ως ένα Android banking trojan που δημιουργήθηκε για να κλέβει διαπιστευτήρια, να καταγράφει πληκτρολογήσεις και να εκτελεί δόλιες συναλλαγές σε μολυσμένες συσκευές χωρίς τη γνώση του χρήστη.

Με τα χρόνια, έχει εξελιχθεί σε μία από τις πιο επίμονες απειλές mobile banking, με την τελευταία της παραλλαγή να στοχεύει πλέον σε περισσότερα από 831 χρηματοπιστωτικά ιδρύματα παγκοσμίως, συμπεριλαμβανομένων των πρόσφατα προστιθέμενων τραπεζών και πλατφορμών κρυπτονομισμάτων σε χώρες όπως η Γερμανία και η Νότια Κορέα.

Ερευνητές στο Το Zscaler ThreatLabz εντόπισε την κακόβουλη εφαρμογή στο Google Play Store και δημοσίευσαν τα ευρήματά τους στις 27 Απριλίου 2026. Η εφαρμογή μεταμφιέστηκε ως πρόγραμμα ανάγνωσης αρχείων με το όνομα πακέτου com.groundstation.informationcontrol.filestation_browsefiles_readdocs και είχε ξεπεράσει τις 10.000 λήψεις προτού η Google το αφαιρέσει από την πλατφόρμα.

Αυτό το περιστατικό είναι ένα ακόμη κεφάλαιο στη συνεχιζόμενη καμπάνια της Anatsa, η οποία έχει επανειλημμένα χρησιμοποιήσει ευεργετικές εφαρμογές για να παρακάμψει τις άμυνες των καταστημάτων εφαρμογών και να προσεγγίσει πραγματικούς χρήστες σε κλίμακα.

Η εφαρμογή χρησιμοποίησε μια τεχνική σταγονόμετρου για να μείνει απαρατήρητη κατά τη διαδικασία ελέγχου του καταστήματος. Μόλις εγκατασταθεί, φάνηκε να λειτουργεί κανονικά ως πρόγραμμα ανάγνωσης εγγράφων, χωρίς να δείχνει σημάδια κακόβουλης δραστηριότητας.

Στο παρασκήνιο, συνδέθηκε σε έναν απομακρυσμένο διακομιστή και κατέβασε το ωφέλιμο φορτίο Anatsa από http://23.251.108[.]10:8080/privacy.txtαθόρυβα εγκατάσταση του trojan χωρίς ειδοποιήσεις ορατές από το χρήστη. Αυτή η παράδοση σε δύο στάδια έχει σχεδιαστεί για να ξεπεράσει τις κριτικές του καταστήματος εφαρμογών που αξιολογούν εφαρμογές μόνο στο σημείο υποβολής.

Αυτή η μέθοδος να παραμείνετε καθαροί στην αρχή και στη συνέχεια να κατεβάσετε κακόβουλο λογισμικό αργότερα αποτελεί υπογραφή των καμπανιών της Anatsa εδώ και χρόνια.

Δεδομένου ότι οι σαρώσεις ασφαλείας του Google Play εστιάζονται στην αρχική έκδοση μιας εφαρμογής, το trojan μπορεί να εισέλθει στην πλατφόρμα χωρίς να εντοπιστεί και να περιμένει έως ότου έχει αρκετές εγκαταστάσεις προτού ενεργοποιηθεί. Μέχρι εκείνο το σημείο, το κακόβουλο λογισμικό εκτελείται ήδη σε χιλιάδες πραγματικές συσκευές.

Μηχανισμός Λοιμώξεων και Αποφυγή Ανίχνευσης

Μόλις το ωφέλιμο φορτίο του Anatsa εκτελείται σε μια συσκευή, ζητά δικαιώματα προσβασιμότητας από τον χρήστη. Εάν χορηγηθεί, το κακόβουλο λογισμικό ενεργοποιεί αυτόματα ένα ευρύτερο σύνολο προνομίων, συμπεριλαμβανομένης της επικάλυψης περιεχομένου πάνω από άλλες εφαρμογές, της υποκλοπής μηνυμάτων SMS και της εμφάνισης ειδοποιήσεων σε πλήρη οθόνη.

Αυτές οι δυνατότητες χρησιμοποιούνται για την καταγραφή της δραστηριότητας των χρηστών, την κλοπή τραπεζικών διαπιστευτηρίων και την παρέμβαση σε νόμιμες αλληλεπιδράσεις εφαρμογών χωρίς να προκαλούν προφανείς συναγερμούς.

Για να μείνει κρυφό από τα εργαλεία ασφαλείας, το Anatsa κρύβει το αρχείο DEX μέσα σε ένα κατεστραμμένο αρχείο ZIP με μη έγκυρες σημαίες συμπίεσης. Το αρχείο εκτελείται μόνο κατά το χρόνο εκτέλεσης και διαγράφεται αμέσως μετά τη φόρτωση, γεγονός που καθιστά πολύ δύσκολο να πιάσουν τα στατικά εργαλεία.

Το ωφέλιμο φορτίο είναι περαιτέρω ενσωματωμένο σε ένα αρχείο JSON που απορρίπτεται και διαγράφεται κατά την εκτέλεση, αφήνοντας ελάχιστα στοιχεία μόλυνσης στη συσκευή.

Το Anatsa κρυπτογραφεί όλη την κίνηση στους διακομιστές εντολών και ελέγχου χρησιμοποιώντας ένα κλειδί XOR ενός byte. Σε αυτήν την καμπάνια, οι διακομιστές C2 φιλοξενήθηκαν στο http://172.86.91[.]94/api/, http://193.24.123[.]18:85/api/και http://162.252.173[.]37:85/api/.

Αυτοί οι διακομιστές παραδίδουν ψεύτικες επικαλύψεις σύνδεσης τραπεζικών τραπεζών που εμφανίζονται απευθείας πάνω από νόμιμες τραπεζικές εφαρμογές, εξαπατώντας τους χρήστες να εισαγάγουν τα διαπιστευτήριά τους σε δόλιες σελίδες που φαίνονται εντελώς αληθινές.

Το κακόβουλο λογισμικό εκτελεί επίσης ελέγχους εξομοίωσης και επαληθεύει το μοντέλο της συσκευής πριν από την ανάπτυξη του ωφέλιμου φορτίου. Εάν εντοπίσει περιβάλλον δοκιμών ή περιβάλλον δοκιμών, απλώς εμφανίζει μια καθαρή διεπαφή διαχείρισης αρχείων αντί να εκκινήσει το trojan.

Αυτός ο ενσωματωμένος μηχανισμός αυτοάμυνας βοηθά το Anatsa να παραμείνει απαρατήρητο κατά τη διάρκεια της αυτοματοποιημένης ανάλυσης, δίνοντάς του περισσότερο χρόνο να λειτουργεί ελεύθερα σε πραγματικές συσκευές χρηστών χωρίς να επισημαίνεται.

Οι χρήστες Android θα πρέπει να ελέγξουν τις άδειες που ζητούν νέες εφαρμογές πριν τις εγκρίνουν. Οι αναγνώστες εγγράφων και οι διαχειριστές αρχείων δεν έχουν νόμιμο λόγο να ζητούν άδειες προσβασιμότητας ή πρόσβαση SMS.

Η διατήρηση του Google Play Protect ενεργοποιημένο, η αποφυγή εφαρμογών από άγνωστους προγραμματιστές και η αμφισβήτηση οποιασδήποτε εφαρμογής που ζητά ασυνήθιστες άδειες είναι όλα πρακτικά βήματα που αξίζει να ακολουθήσετε.

Όποιος εγκατέστησε την επηρεαζόμενη εφαρμογή θα πρέπει να την απεγκαταστήσει αμέσως και να σαρώσει τη συσκευή του με ένα αξιόπιστο εργαλείο ασφάλειας για κινητά.

Δείκτες Συμβιβασμού (IOC):-