Anatsa Malware

Nowy, groźny i wyrafinowany trojan bankowy dla systemu Android jest wdrażany przeciwko użytkownikom w Holandii. Zagrożenie zostało nazwane złośliwym oprogramowaniem Anatsa przez badaczy, którzy wykryli smishingową kampanię, która je wdrożyła. Groźne możliwości Anatsy są naprawdę imponujące i wykraczają daleko poza to, w co wyposażony jest zwykły trojan bankowy.

Na najbardziej podstawowym poziomie Anatsa może zbierać dane uwierzytelniające użytkownika za pomocą ataków typu overlay. Nakładki są pobierane i przechowywane na zainfekowanym urządzeniu, a następnie uruchamiane lokalnie w razie potrzeby. Zagrożenie może ustanawiać procedury keyloggera, a także uzyskiwać dostęp do informacji kontaktowych i danych urządzenia oraz je usuwać. Jednak jednym z najbardziej zagrażających aspektów złośliwego oprogramowania Anatsa jest jego zdolność do wykorzystywania rejestrowania dostępności. W rezultacie zagrożenie może uzyskać informacje wyświetlane na ekranie urządzenia. Ponadto umożliwia złośliwemu oprogramowaniu interakcję z elementami interfejsu użytkownika i zapisywanie wszystkich wyświetlanych w nich informacji. Podmiot zagrażający może wykorzystać tę funkcjonalność zagrożenia do przeprowadzenia tak zwanego oszustwa na urządzeniu - cyberprzestępcy wykorzystują zaatakowane urządzenie do dokonywania oszukańczych działań.

Szkodliwe oprogramowanie Anatsa może również działać jako RAT (trojan zdalnego dostępu). Jeśli szczep złośliwego oprogramowania otrzyma określone polecenie („start_client”) ze swojego serwera Command-and-Control, zainicjuje połączenie z określonym adresem IP i portem. Ten kanał komunikacyjny może następnie zostać wykorzystany przez podmiot zagrażający do wysyłania i odbierania danych oraz wydawania dodatkowych poleceń narzędziu szkodliwemu. Cyberprzestępcy mogą zatrzymywać i odinstalowywać wybrane aplikacje na urządzeniu, wykonywać gesty, wyciszać urządzenie, zbierać kody uwierzytelniające Google i nie tylko.

Pozbycie się złośliwego oprogramowania Anatsa może okazać się trudnym procesem. Zagrożenie uniemożliwia swoim ofiarom korzystanie z ustawień Androida w celu odinstalowania go. Jednocześnie interweniuje i powstrzymuje użytkownika przed ponownym uruchomieniem lub wyłączeniem zaatakowanego urządzenia.