Anatsa Malware

Новый опасный и изощренный банковский троян для Android развертывается против пользователей в Нидерландах. Угроза была названа вредоносной программой Anatsa исследователями, обнаружившими развертывавшую ее кампанию по уничтожению. Угрожающие возможности Anatsa действительно впечатляют и выходят далеко за рамки того, чем оснащен обычный банковский троян.

На самом базовом уровне Anatsa может собирать учетные данные пользователей с помощью оверлейных атак. Оверлеи загружаются и сохраняются на зараженном устройстве, а затем при необходимости запускаются локально. Угроза может установить подпрограммы кейлоггеров, а также получить доступ и украсть контактную информацию и сведения об устройстве. Однако одним из наиболее опасных аспектов вредоносного ПО Anatsa является его способность использовать журнал доступности. В результате угроза может получить информацию, отображаемую на экране устройства. Кроме того, он позволяет вредоносному ПО взаимодействовать с элементами пользовательского интерфейса и записывать всю информацию, отображаемую внутри них. Злоумышленник может использовать эту функциональность угрозы для проведения так называемого мошенничества на устройстве - киберпреступники используют взломанное устройство для совершения мошеннических действий.

Вредоносная программа Anatsa также может выступать в роли RAT (трояна удаленного доступа). Если вредоносная программа получает определенную команду (start_client) от своего Command-and-Control сервера, она инициирует соединение с определенным IP-адресом и портом. Затем злоумышленник может использовать этот канал связи для отправки и получения данных и передачи дополнительных команд вредоносному инструменту. Киберпреступники могут останавливать и удалять выбранные приложения на устройстве, выполнять жесты, отключать звук устройства, собирать коды аутентификатора Google и многое другое.

Избавление от вредоносного ПО Anatsa может оказаться непростым процессом. Угроза не позволяет жертвам использовать настройки Android для ее удаления. В то же время он также вмешивается и останавливает пользователя от перезагрузки или выключения скомпрометированного устройства.