Кампања напада злонамерног софтвера за мобилне уређаје Анаца
Истраживачи сајбер безбедности открили су нови талас напада злонамерног софтвера за Андроид банкарство оркестрираних преко тројанца Анатса. Ова софистицирана претња, позната и као TeaBot или Toddler, поново се појавила кампањом усмереном на кориснике у Сједињеним Државама и Канади, користећи обмањујуће тактике путем наизглед легитимних апликација објављених на Google Play продавници.
Преглед садржаја
Злонамерни софтвер се маскира као алати за документе
У средишту кампање је апликација за преузимање података прерушена у услужни програм под називом „Прегледач докумената - Читач датотека“ (APK пакет: „com.stellarastra.maintainer.astracontrol_managerreadercleaner“). Представљајући се као безопасни PDF алат, апликацију је објавио програмер под називом „Hybrid Cars Simulator, Drift & Racing“, име које само по себи буди сумњу. Након што је прикупила значајан број преузимања, ажурирање је уградило злонамерни код који је преузимао и инсталирао Anatsa на уређаје жртава.
Ова апликација је објављена 7. маја 2025. године и достигла је четврто место у категорији Најбољи бесплатни алати до 29. јуна 2025. године. До тада је акумулирала приближно 90.000 преузимања пре него што је уклоњена. Гугл је од тада потврдио уклањање ове апликације и њеног повезаног програмерског налога из Плеј продавнице.
Прикривене стратегије и познати приручник
Кампања Анатса прати проверени циклус:
Легитимно распоређивање апликације : Отпремите чисту, потпуно функционалну апликацију у Play продавницу.
Одложена инфекција : Након изградње значајне корисничке базе, објавите ажурирање које садржи злонамерни код.
Тиха инсталација : Злонамерни софтвер се инсталира као засебна апликација, ван видокруга оригиналног пакета.
Додељивање циља : Добија листу финансијских институција за напад, динамички преузету са екстерног сервера.
Овај вишестепени напад је део Анацине стратегије трајног успеха. Тиме што је у раним фазама неактивна и активира се тек након стицања поверења и привлачности, кампања избегава рано откривање и максимизира свој утицај током кратког, али ефикасног периода дистрибуције, у овом случају, од 24. до 30. јуна 2025. године.
Напредне могућности за финансијске преваре
Једном инсталиран, Anatsa омогућава низ злонамерних активности усмерених на финансијску експлоатацију:
- Крађа акредитива путем напада преклапањем и писања кејлова.
Ови преклапања варају кориснике да помисле да је апликација њихове банке привремено недоступна због одржавања, док се у стварности акредитиви краду и потенцијално користе за неовлашћене трансакције.
Глобална еволуција претње Анатса
Први пут примећена 2020. године, злонамерни софтвер Anatsa се значајно развио. Раније 2024. године, циљао је кориснике у Словачкој, Словенији и Чешкој Републици користећи сличне тактике, а бенигне апликације су постале злонамерне недељама након почетног објављивања. Способност злонамерног софтвера да се прилагоди и прошири свој географски фокус наглашава његову сталну претњу корисницима мобилног банкарства широм света.
Најновија северноамеричка кампања одражава све веће интересовање компаније Анатса за америчке и канадске финансијске институције, као и њену способност да се брзо прилагоди и поново користи успешне методе напада уз мање измене.
Заштитне мере и одговор индустрије
Организације у сектору финансијских услуга се позивају да:
- Пратите сумњиве активности које потичу са мобилних уређаја.
- Едукујте кориснике о опасностима лажних преклапања апликација и неовлашћених ажурирања.
- Ојачајте механизме аутентификације како бисте открили превару чак и када су акредитиви угрожени.
Кључни упозоравајући знаци за кориснике:
- Апликације које захтевају необичне дозволе након ажурирања.
- Изненадна појава прекривача „одржавања“ на банкарским апликацијама.
- Недоследности у имену програмера апликације или категорији апликације.
Гугл је изјавио да су злонамерне апликације укључене у ову кампању уклоњене из Гугл Плеј продавнице.
Завршне мисли
Кампања Анатса је снажан подсетник колико брзо се поверење може злоупотребити у дигиталним екосистемима. Уклапајући се у поуздано окружење Google Play продавнице, злонамерни софтвер се успешно инфилтрирао у хиљаде уређаја. Континуирана едукација, проактивно праћење безбедности и здрава доза скептицизма остају најбоља одбрана од таквих претњи које се стално развијају.
