קמפיין התקפת תוכנות זדוניות ניידות של Anatsa

חוקרי אבטחת סייבר חשפו גל חדש של מתקפות זדוניות לבנקאות באנדרואיד, אשר בוצעו באמצעות הטרויאן Anatsa. איום מתוחכם זה, המכונה גם TeaBot או Toddler, צץ מחדש בקמפיין המכוון למשתמשים בארצות הברית ובקנדה, תוך שימוש בטקטיקות הטעיה באמצעות אפליקציות לגיטימיות לכאורה המתפרסמות בחנות Google Play.

תוכנות זדוניות המחופשות לכלי מסמכים

במרכז הקמפיין נמצאת אפליקציית דרופר במסווה של כלי עזר בשם 'Document Viewer - File Reader' (חבילת APK: 'com.stellarastra.maintainer.astracontrol_managerreadercleaner'). האפליקציה, שהתחזתה לכלי PDF לא מזיק, פורסמה על ידי מפתח בשם 'Hybrid Cars Simulator, Drift & Racing', שם שמעורר חשד כשלעצמו. לאחר שצברה מספר ניכר של הורדות, עדכון הטמיע קוד זדוני שהוריד והתקין את Anatsa על מכשירי הקורבנות.

אפליקציה זו עלתה לאוויר ב-7 במאי 2025, והגיעה למקום הרביעי בקטגוריית הכלים החינמיים המובילים עד ה-29 ביוני 2025. עד אז, היא צברה כ-90,000 הורדות לפני שהוסרה. גוגל אישרה מאז את הסרת האפליקציה הזו וחשבון המפתח המשויך אליה מחנות Play.

אסטרטגיות חשאיות ומדריך מוכר

קמפיין אנאצה עוקב אחר מחזור בדוק ומוכח:

פריסת אפליקציה לגיטימית : העלה אפליקציה נקייה ותפקודית לחלוטין לחנות Play.

זיהום מושהה : לאחר בניית בסיס משתמשים גדול, יש לפרסם עדכון המכיל קוד זדוני.

התקנה שקטה : התוכנה הזדונית מותקנת כאפליקציה נפרדת, הרחק מהחבילה המקורית.

הקצאת יעד : הוא מקבל רשימה של מוסדות פיננסיים לתקיפה, הנלקחת באופן דינמי משרת חיצוני.

מתקפה רב-שלבית זו היא חלק מאסטרטגיית ההצלחה המתמשכת של אנצה. על ידי רדימה בשלבים מוקדמים והפעלה רק לאחר צבירת אמון ואחיזה, הקמפיין נמנע מגילוי מוקדם וממקסם את השפעתו במהלך חלון הפצה קצר אך יעיל, במקרה זה, מ-24 ביוני עד 30 ביוני 2025.

יכולות מתקדמות למניעת הונאות פיננסיות

לאחר ההתקנה, Anatsa מאפשרת מגוון פעילויות זדוניות שמטרתן ניצול פיננסי:

• גניבת אישורים באמצעות התקפות שכבת-על ורישום keylogging.

שכבות אלו מרמות משתמשים לחשוב שאפליקציית הבנק שלהם מושבתת זמנית לצורך תחזוקה, כשלמעשה, פרטי גישה נגנבים ומשמשים באופן פוטנציאלי לעסקאות לא מורשות.

האבולוציה הגלובלית של איום האנאצה

Anatsa, שזוהתה לראשונה בשנת 2020, התפתחה במידה ניכרת. מוקדם יותר בשנת 2024, היא כיוונה משתמשים בסלובקיה, סלובניה וצ'כיה באמצעות טקטיקות דומות, אפליקציות שפירות הפכו זדוניות שבועות לאחר השחרור הראשוני. יכולתה של הנוזקה להסתגל ולהרחיב את המיקוד הגיאוגרפי שלה מדגישה את האיום המתמשך שלה על לקוחות בנקאות סלולרית ברחבי העולם.

הקמפיין האחרון בצפון אמריקה משקף את העניין הגובר של אנאטסה במוסדות פיננסיים אמריקאים וקנדיים, כמו גם את יכולתה להסתובב במהירות ולעשות שימוש חוזר בשיטות תקיפה מוצלחות עם שינויים קלים.

אמצעי הגנה ותגובת התעשייה

ארגונים בתחום השירותים הפיננסיים מתבקשים:

• ניטור פעילות חשודה שמקורה במכשירים ניידים.
• יש לחנך את הלקוחות לגבי הסכנות של שכבות-על של אפליקציות מזויפות ועדכונים לא מורשים.
• חיזוק מנגנוני אימות כדי לזהות הונאות גם כאשר אישורים נחשפים.

דגלים אדומים עיקריים למשתמשים:

• אפליקציות שמבקשות הרשאות חריגות לאחר עדכונים.
• הופעה פתאומית של שכבות "תחזוקה" באפליקציות בנקאיות.
• סתירות בשם מפתח האפליקציה או בקטגוריית האפליקציה.

גוגל הצהירה כי האפליקציות הזדוניות המעורבות בקמפיין זה הוסרו מחנות גוגל פליי.

מחשבות אחרונות

קמפיין אנאצה הוא תזכורת חדה לאופן שבו ניתן לנצל אמון במערכות אקולוגיות דיגיטליות. על ידי שילוב בסביבה המהימנה של חנות Google Play, התוכנה הזדונית חדרה בהצלחה לאלפי מכשירים. חינוך מתמשך, ניטור אבטחה פרואקטיבי ומנה בריאה של ספקנות נותרו ההגנה הטובה ביותר מפני איומים מתפתחים כאלה.