Μια παραπλανητική εφαρμογή Android που κρύβεται στο Google Play Store, μεταμφιεσμένη σε πρόγραμμα ανάγνωσης εγγράφων και διαχείριση αρχείων, αλλά παραδίδει το τραπεζικό trojan Anatsa στους χρήστες.
Η εταιρεία κυβερνοασφάλειας Zscaler ThreatLabz βρήκε μια εφαρμογή με το όνομα «Document Reader – File Manager» από τον προγραμματιστή ISTOQMAH. Η εφαρμογή έχει συγκεντρώσει πάνω από 50.000 λήψεις ενώ παραμένει ζωντανή, εξαπατώντας τους χρήστες να παραχωρήσουν άδειες που επιτρέπουν την κλοπή οικονομικών δεδομένων.
Αυτή η καμπάνια υπογραμμίζει τις συνεχιζόμενες προκλήσεις για την ασφάλεια των επίσημων καταστημάτων εφαρμογών από εξελιγμένα σταγονίδια κακόβουλου λογισμικού.
Το Anatsa, γνωστό και ως TeaBot, εμφανίστηκε το 2020 ως ένα τραπεζικό κακόβουλο λογισμικό Android που ειδικεύεται στην κλοπή διαπιστευτηρίων, το keylogging και τις δόλιες συναλλαγές που στοχεύουν οικονομικές εφαρμογές.
Οι πρόσφατες παραλλαγές έχουν επεκταθεί σε πάνω από 831 ιδρύματα σε όλο τον κόσμο, συμπεριλαμβανομένων νέων περιοχών όπως η Γερμανία και η Νότια Κορέα, καθώς και πλατφόρμες κρυπτονομισμάτων.
Το Trojan χρησιμοποιεί προηγμένες τακτικές αποφυγής, όπως αποκρυπτογράφηση συμβολοσειρών DES χρόνου εκτέλεσης, ελέγχους μοντέλων συσκευής για αποφυγή εξομοιωτών και κακώς μορφοποιημένα αρχεία ZIP που κρύβουν ωφέλιμα φορτία DEX που αποφεύγουν τα εργαλεία στατικής ανάλυσης.
Σε αυτήν την περίπτωση, η εφαρμογή dropper αποτελεί ένα ευνοϊκό εργαλείο για το άνοιγμα αρχείων PDF, τη σάρωση εγγράφων και τη διαχείριση αρχείων, με μια διαισθητική διεπαφή.
Κατά την εγκατάσταση, λαμβάνει σιωπηλά το ωφέλιμο φορτίο Anatsa μεταμφιεσμένο ως ενημέρωση από έναν διακομιστή εντολών και ελέγχου, παρακάμπτοντας τις προστασίες του Play Store. Εάν οι έλεγχοι αποτύχουν, εμφανίζει έναν ψεύτικο διαχειριστή αρχείων για να διατηρήσει την κάλυψη.
Μόλις ενεργοποιηθεί, το Anatsa αναζητά άδειες προσβασιμότητας για να παραχωρήσει αυτόματα επικίνδυνα προνόμια όπως SYSTEM_ALERT_WINDOW, READ_SMS και προθέσεις πλήρους οθόνης και, στη συνέχεια, επικαλύπτει σελίδες ψαρέματος προσαρμοσμένες στις εντοπισμένες τραπεζικές εφαρμογές.
Το ThreatLabz αναλύει συγκεκριμένους δείκτες για αυτό το κύμα Anatsa, βοηθώντας τις προσπάθειες ανίχνευσης. Η σελίδα Play Store της εφαρμογής την προωθεί ως μια “λύση όλα σε ένα” για έγγραφα, αλλά περιέχει κακόβουλο κώδικα.
Αυτή η εφαρμογή ενώνει δεκάδες παρόμοια παραπλανητικά, με το ThreatLabz να αναφέρει 77 κακόβουλες εφαρμογές συνολικού αριθμού 19 εκατομμυρίων εγκαταστάσεων που καταργήθηκαν πρόσφατα από το Google Play. Οι καμπάνιες Anatsa χρησιμοποιούν συχνά εφαρμογές παραγωγικότητας, όπως προγράμματα προβολής εγγράφων, εκμεταλλευόμενες την εμπιστοσύνη στα βοηθητικά εργαλεία.
Οι χρήστες αντιμετωπίζουν κινδύνους κλοπής τραπεζικών διαπιστευτηρίων μέσω πλαστών στοιχείων σύνδεσης ή αυτοματοποιημένης απάτης, ειδικά στη Βόρεια Αμερική, όπου τα προηγούμενα στελέχη κατείχαν υψηλή θέση στις ενότητες «Δωρεάν εργαλεία». Η Google έχει ενισχύσει το Play Protect, αλλά οι έγκαιρες αναφορές ερευνητών παραμένουν ζωτικής σημασίας.
Οι κάτοχοι Android θα πρέπει να ελέγχουν εξονυχιστικά τις άδειες εφαρμογών, να αποφεύγουν ανεπιθύμητες ενημερώσεις και να χρησιμοποιούν σαρωτές προστασίας από ιούς. Οι ομάδες ασφαλείας μπορούν να αξιοποιήσουν αυτά τα IOC για την παρακολούθηση δικτύου και την εγκληματολογία συσκευών.
Δείκτες καμπάνιας
| Δείκτης | Αξία |
|---|---|
| Όνομα πακέτου | com.quantumrealm.nexdev.quarkfilerealm_filedoctool G7qS0W6bMAEE2v4.jpg |
| Εγκαταστάτης MD5 | 98af36a2ef0b8f87076d1ff2f7dc9585 |
| Ωφέλιμο φορτίο MD5 | da5e24b1a97faeacf7fb97dbb3a585af |
| Λήψη URL | https://quantumfilebreak[.]com/txt.txt |
| Διακομιστές C2 | http://185.215.113[.]108:85/api/ http://193.24.123[.]18:85/api/ http://162.252.173[.]37:85/api/ |
