Anatsa Malware

En ny truende og sofistikeret Android-bank-trojan implementeres mod brugere i Holland. Truslen blev kaldt Anatsa malware af forskerne, der opdagede den smishing-kampagne, der implementerede den. Anatsas truende kapacitet er virkelig imponerende og går langt ud over, hvad en normal banktrojan er udstyret med.

På det mest basale niveau kan Anatsa indsamle brugeroplysninger gennem overlayangreb. Overlejringerne downloades og gemmes på den inficerede enhed og startes derefter lokalt, når det er nødvendigt. Truslen kan etablere keylogging-rutiner samt få adgang til og exfiltrere kontaktoplysninger og enhedsoplysninger. Imidlertid er et af de mest truende aspekter af Anatsa-malware dets evne til at udnytte tilgængelighedslogning. Som et resultat kan truslen få oplysninger, der vises på enhedens skærm. Desuden giver det malware mulighed for at interagere med UI-elementerne og registrere al information, der vises inde i dem. Trusselsaktøren kan udnytte denne funktionalitet af truslen til at udføre det, der kaldes svindel på enheden - cyberkriminelle bruger den kompromitterede enhed til at begå falske aktiviteter.

Anatsa-malware kan også fungere som en RAT (Remote Access Trojan). Hvis malware-stammen modtager en bestemt kommando ('start_client') fra sin Command-and-Control-server, vil den starte en forbindelse til en bestemt IP-adresse og port. Denne kommunikationskanal kan derefter udnyttes af trusselsaktøren til at sende og modtage data og give yderligere kommandoer til malware-værktøjet. Cyberkriminelle kan stoppe og afinstallere valgte applikationer på enheden, udføre bevægelser, slå lyden fra på enheden, indsamle Google-godkenderkoder og mere.

At slippe af med Anatsa-malware kan vise sig at være en vanskelig proces. Truslen forhindrer ofrene i at bruge Android-indstillingerne til at afinstallere den. Samtidig griber det også ind og forhindrer brugeren i at genstarte eller lukke den kompromitterede enhed.