Kampanja napada zlonamerne programske opreme Anatsa za mobilne naprave

Raziskovalci kibernetske varnosti so odkrili nov val napadov zlonamerne programske opreme za bančništvo na Androidu, ki jih je orkestriral trojanec Anatsa. Ta prefinjena grožnja, znana tudi kot TeaBot ali Toddler, se je ponovno pojavila s kampanjo, usmerjeno na uporabnike v Združenih državah Amerike in Kanadi, ki uporablja zavajajoče taktike prek na videz legitimnih aplikacij, objavljenih v trgovini Google Play.

Zlonamerna programska oprema se maskira kot orodja za dokumente

V središču kampanje je aplikacija za odlaganje, prikrita kot pripomoček z naslovom »Pregledovalnik dokumentov - bralnik datotek« (paket APK: »com.stellarastra.maintainer.astracontrol_managerreadercleaner«). Aplikacijo, ki se izdaja za neškodljivo orodje za PDF, je objavil razvijalec z imenom »Hybrid Cars Simulator, Drift & Racing«, ime, ki že samo po sebi vzbuja sum. Ko je zbrala veliko število prenosov, je posodobitev vdelala zlonamerno kodo, ki je prenesla in namestila Anatso na naprave žrtev.

Ta aplikacija je bila objavljena 7. maja 2025 in je do 29. junija 2025 dosegla četrto mesto v kategoriji Najboljša brezplačna orodja. Do takrat je imela približno 90.000 prenosov, preden je bila umaknjena. Google je od takrat potrdil odstranitev te aplikacije in z njo povezanega računa razvijalca iz Trgovine Play.

Prikrite strategije in znani priročnik

Kampanja Anatsa sledi preizkušenemu ciklu:

Uvajanje legitimne aplikacije : Naložite čisto, popolnoma delujočo aplikacijo v Trgovino Play.

Zakasnjena okužba : Po izgradnji precejšnje uporabniške baze izda posodobitev, ki vsebuje zlonamerno kodo.

Tiha namestitev : Zlonamerna programska oprema se namesti kot ločena aplikacija, izven vidnega polja originalnega paketa.

Dodelitev cilja : Prejme seznam finančnih institucij za napad, ki se dinamično pridobiva z zunanjega strežnika.

Ta večstopenjski napad je del Anatsine strategije trajnega uspeha. Ker je v zgodnjih fazah neaktivna in se aktivira šele po pridobitvi zaupanja in podpori, se kampanja izogne zgodnjemu odkrivanju in poveča svoj vpliv v kratkem, a učinkovitem distribucijskem oknu, v tem primeru od 24. do 30. junija 2025.

Napredne zmogljivosti za finančne goljufije

Ko je Anatsa nameščena, omogoča vrsto zlonamernih dejavnosti, katerih cilj je finančno izkoriščanje:

• Kraja poverilnic z napadi s prekrivanjem in beleženjem tipk.
• Goljufija s prevzemom naprave (DTO) za neposredno sprožitev transakcij z uporabnikove naprave.

• Oviranje uporabniških dejanj z lažnimi obvestili o vzdrževanju, ki preprečujejo dostop do legitimnih bančnih aplikacij in odlašajo z odkrivanjem.

Te prekrivne plasti uporabnike zavedejo, da mislijo, da je aplikacija njihove banke začasno nedostopna zaradi vzdrževanja, medtem ko se v resnici poverilnice izkoriščajo in potencialno uporabljajo za nepooblaščene transakcije.

Globalni razvoj grožnje Anatsa

Anatsa, ki so jo prvič opazili leta 2020, se je precej razvila. V začetku leta 2024 je ciljala na uporabnike na Slovaškem, v Sloveniji in na Češkem z uporabo podobnih taktik, neškodljive aplikacije pa so postale zlonamerne le nekaj tednov po prvi izdaji. Sposobnost zlonamerne programske opreme, da se prilagodi in razširi svoj geografski fokus, poudarja njeno nenehno grožnjo za stranke mobilnega bančništva po vsem svetu.

Najnovejša severnoameriška kampanja odraža vse večje zanimanje družbe Anatsa za ameriške in kanadske finančne institucije, pa tudi njeno sposobnost hitrega prilagajanja in ponovne uporabe uspešnih metod napadov z manjšimi prilagoditvami.

Zaščitni ukrepi in odziv industrije

Organizacije v sektorju finančnih storitev so pozvane, da:

• Spremljajte sumljive dejavnosti, ki izvirajo iz mobilnih naprav.
• Stranke poučite o nevarnostih lažnih prekrivnih slojev aplikacij in nepooblaščenih posodobitev.
• Okrepite mehanizme za preverjanje pristnosti, da odkrijete goljufije, tudi če so poverilnice ogrožene.

Ključni opozorilni znaki za uporabnike:

• Aplikacije, ki po posodobitvah zahtevajo nenavadna dovoljenja.
• Nenaden pojav prekrivnih elementov »vzdrževanje« v bančnih aplikacijah.
• Nedoslednosti v imenu razvijalca aplikacije ali kategoriji aplikacije.

Google je izjavil, da so bile zlonamerne aplikacije, vključene v to kampanjo, odstranjene iz trgovine Google Play.

Zaključne misli

Kampanja Anatsa je oster opomin na to, kako hitro je mogoče izkoriščati zaupanje v digitalnih ekosistemih. Z zlivanjem z zaupanja vrednim okoljem trgovine Google Play se je zlonamerna programska oprema uspešno infiltrirala v tisoče naprav. Stalno izobraževanje, proaktivno spremljanje varnosti in zdrava mera skepticizma ostajajo najboljša obramba pred tako razvijajočimi se grožnjami.