Anatsa Malware

Een nieuwe bedreigende en geavanceerde Android-banktrojan wordt ingezet tegen gebruikers in Nederland. De dreiging werd Anatsa-malware genoemd door de onderzoekers die de smishing-campagne ontdekten die het gebruikte. De bedreigende mogelijkheden van Anatsa zijn echt indrukwekkend en gaan veel verder dan waar een normale banktrojan mee is uitgerust.

Op het meest basale niveau kan Anatsa gebruikersreferenties verzamelen via overlay-aanvallen. De overlays worden gedownload en opgeslagen op het geïnfecteerde apparaat en vervolgens lokaal gestart wanneer dat nodig is. De dreiging kan keylogging-routines tot stand brengen, evenals toegang krijgen tot contactinformatie en apparaatdetails en deze exfiltreren. Een van de meest bedreigende aspecten van de Anatsa-malware is echter de mogelijkheid om gebruik te maken van toegankelijkheidsregistratie. Als gevolg hiervan kan de dreiging informatie krijgen die op het scherm van het apparaat wordt weergegeven. Bovendien stelt het de malware in staat om te communiceren met de UI-elementen en alle informatie die erin wordt weergegeven vast te leggen. De bedreigingsacteur kan deze functionaliteit van de bedreiging gebruiken om wat bekend staat als fraude op het apparaat - de cybercriminelen gebruiken het gecompromitteerde apparaat om frauduleuze activiteiten te plegen.

De Anatsa-malware kan ook fungeren als een RAT (Remote Access Trojan). Als de malware-stam een specifiek commando ('start_client') ontvangt van zijn Command-and-Control-server, zal het een verbinding tot stand brengen met een specifiek IP-adres en poort. Dit communicatiekanaal kan vervolgens worden misbruikt door de bedreigingsacteur om gegevens te verzenden en te ontvangen en aanvullende opdrachten te geven aan de malwaretool. De cybercriminelen kunnen gekozen applicaties op het apparaat stoppen en verwijderen, gebaren uitvoeren, het apparaat dempen, Google-authenticatorcodes verzamelen en meer.

Het verwijderen van de Anatsa-malware kan een lastig proces blijken te zijn. De dreiging voorkomt dat zijn slachtoffers de Android-instellingen gebruiken om het te verwijderen. Tegelijkertijd grijpt het ook in en voorkomt het dat de gebruiker het gecompromitteerde apparaat opnieuw opstart of afsluit.