Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm Anatsa mobilo ļaunprogrammatūru uzbrukuma kampaņa

Anatsa mobilo ļaunprogrammatūru uzbrukuma kampaņa

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm, Banku Trojas zirgs. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši jaunu Android banku ļaunprogrammatūras uzbrukumu vilni, ko organizēja Trojas zirgs Anatsa. Šis sarežģītais apdraudējums, kas pazīstams arī kā TeaBot vai Toddler, ir atkal parādījies ar kampaņu, kas vērsta pret lietotājiem Amerikas Savienotajās Valstīs un Kanādā, izmantojot maldinošu taktiku, izmantojot šķietami likumīgas lietotnes, kas publicētas Google Play veikalā.

Ļaunprogrammatūra, kas maskējas kā dokumentu rīki

Kampaņas centrā ir pilinātāja lietotne, kas maskēta kā utilīta ar nosaukumu “Dokumentu skatītājs - failu lasītājs” (APK pakotne: “com.stellarastra.maintainer.astracontrol_managerreadercleaner”). Lietotne, kas izlikās par nekaitīgu PDF rīku, tika publicēta izstrādātāja ar nosaukumu “Hybrid Cars Simulator, Drift & Racing” — nosaukums, kas pats par sevi rada aizdomas. Kad tā bija uzkrājusi ievērojamu lejupielāžu skaitu, atjauninājumā tika iestrādāts ļaunprātīgs kods, kas lejupielādēja un instalēja Anatsa upuru ierīcēs.

Šī konkrētā lietotne tika publicēta 2025. gada 7. maijā un līdz 2025. gada 29. jūnijam sasniedza ceturto vietu kategorijā “Labākie bezmaksas rīki”. Līdz tam laikam tā bija lejupielādējusi aptuveni 90 000 reižu, pirms tā tika noņemta. Kopš tā laika Google ir apstiprinājis šīs lietotnes un ar to saistītā izstrādātāja konta noņemšanu no Play veikala.

Slepenas stratēģijas un pazīstama rokasgrāmata

Anatsa kampaņa seko pārbaudītam ciklam:

Likumīga lietotņu izvietošana : augšupielādējiet tīru, pilnībā funkcionējošu lietotni Play veikalā.

Aizkavēta inficēšanās : Pēc ievērojamas lietotāju bāzes izveidošanas izplatiet atjauninājumu, kas satur ļaunprātīgu kodu.

Klusa instalēšana : ļaunprogrammatūra tiek instalēta kā atsevišķa lietotne, kas nav redzama oriģinālajā pakotnē.

Mērķa piešķiršana : Tas saņem uzbrukumam paredzēto finanšu iestāžu sarakstu, kas dinamiski tiek ielādēts no ārēja servera.

Šis daudzpakāpju uzbrukums ir daļa no Anatsa ilgstošās veiksmes stratēģijas. Sākotnēji snaudot un aktivizējoties tikai pēc uzticības un atbalsta iegūšanas, kampaņa tiek novērsta agrīna atklāšana un maksimāli palielina tās ietekmi īsā, bet efektīvā izplatīšanas periodā, šajā gadījumā no 2025. gada 24. jūnija līdz 30. jūnijam.

Uzlabotas iespējas finanšu krāpšanas apkarošanai

Pēc instalēšanas Anatsa ļauj veikt virkni ļaunprātīgu darbību, kuru mērķis ir finansiāla izmantošana:

  • Akreditācijas datu zādzība, izmantojot pārklājuma uzbrukumus un taustiņu nospiešanas bloķēšanu.
  • Ierīces pārņemšanas krāpšana (DTO), lai uzsāktu darījumus tieši no lietotāja ierīces.
  • Lietotāju darbību kavēšana, izmantojot viltotus apkopes paziņojumus, kas liedz piekļuvi likumīgām banku lietotnēm un aizkavē atklāšanu.

Šie pārklājumi maldina lietotājus, liekot domāt, ka viņu bankas lietotne īslaicīgi nedarbojas apkopes dēļ, lai gan patiesībā akreditācijas dati tiek zādzīti un, iespējams, izmantoti neatļautām transakcijām.

Anatsa draudu globālā evolūcija

Anatsa, kas pirmo reizi tika pamanīta 2020. gadā, ir ievērojami attīstījusies. Iepriekš, 2024. gadā, tā, izmantojot līdzīgu taktiku, uzbruka lietotājiem Slovākijā, Slovēnijā un Čehijas Republikā, labdabīgām lietotnēm kļūstot par ļaunprātīgām dažas nedēļas pēc sākotnējās izlaišanas. Ļaunprogrammatūras spēja pielāgoties un paplašināt savu ģeogrāfisko darbības jomu uzsver tās pastāvīgos draudus mobilo banku klientiem visā pasaulē.

Jaunākā Ziemeļamerikas kampaņa atspoguļo Anatsa pieaugošo interesi par ASV un Kanādas finanšu iestādēm, kā arī spēju ātri mainīt virzienu un atkārtoti izmantot veiksmīgas uzbrukuma metodes ar nelielām izmaiņām.

Aizsardzības pasākumi un nozares reakcija

Finanšu pakalpojumu nozares organizācijām tiek ieteikts:

  • Uzraugiet aizdomīgas darbības, kas rodas no mobilajām ierīcēm.
  • Izglītojiet klientus par viltotu lietotņu pārklājumu un neatļautu atjauninājumu bīstamību.
  • Stipriniet autentifikācijas mehānismus, lai atklātu krāpšanu pat tad, ja akreditācijas dati ir apdraudēti.

Galvenie brīdinājuma signāli lietotājiem:

  • Lietotnes, kas pēc atjauninājumiem pieprasa neparastas atļaujas.
  • Pēkšņa "apkopes" pārklājumu parādīšanās banku lietotnēs.
  • Neatbilstības lietotnes izstrādātāja nosaukumā vai lietotnes kategorijā.

Google ir paziņojis, ka šajā kampaņā iesaistītās ļaunprātīgās lietotnes ir noņemtas no Google Play veikala.

Noslēguma domas

Anatsa kampaņa ir skarbs atgādinājums par to, cik ātri digitālajās ekosistēmās var tikt izmantota uzticēšanās. Iekļaujoties Google Play veikala uzticamajā vidē, ļaunprogrammatūra veiksmīgi iekļuva tūkstošiem ierīču. Pastāvīga izglītošana, proaktīva drošības uzraudzība un veselīga skepticisma deva joprojām ir labākā aizsardzība pret šādiem mainīgiem draudiem.

 

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,647
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...