Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Anatsa Mobile Malware Attack-kampanj

Anatsa Mobile Malware Attack-kampanj

Med Mezo år Mobil skadlig programvara, Banktrojan
Översätt till:

Cybersäkerhetsforskare har avslöjat en ny våg av attacker mot Android-banker som iscensatts genom trojanen Anatsa. Detta sofistikerade hot, även känt som TeaBot eller Toddler, har återuppstått med en kampanj riktad mot användare i USA och Kanada, där de använder vilseledande taktiker genom till synes legitima appar som publiceras i Google Play Store.

Skadlig kod som utger sig för att vara dokumentverktyg

I centrum för kampanjen finns en dropper-app förklädd till ett verktyg med titeln "Document Viewer - File Reader" (APK-paket: "com.stellarastra.maintainer.astracontrol_managerreadercleaner"). Appen utgav sig för att vara ett ofarligt PDF-verktyg och publicerades av en utvecklare vid namn "Hybrid Cars Simulator, Drift & Racing", ett namn som i sig väcker misstankar. När den samlade på sig ett betydande antal nedladdningar bäddade en uppdatering in skadlig kod som laddade ner och installerade Anatsa på offrens enheter.

Den här specifika appen lanserades den 7 maj 2025 och nådde fjärde plats i kategorin Bästa gratisverktyg den 29 juni 2025. Vid det laget hade den samlat på sig cirka 90 000 nedladdningar innan den togs bort. Google har sedan dess bekräftat borttagningen av den här appen och dess tillhörande utvecklarkonto från Play Store.

Smygande strategier och välbekant spelbok

Anatsa-kampanjen följer en beprövad cykel:

Legit appdistribution : Ladda upp en ren, fullt fungerande app till Play Butik.

Fördröjd infektion : Efter att ha byggt upp en betydande användarbas, skicka ut en uppdatering som innehåller skadlig kod.

Tyst installation : Skadlig programvara installeras som en separat app, utom synhåll från originalpaketet.

Måltilldelning : Den tar emot en lista över finansinstitut att attackera, hämtad dynamiskt från en extern server.

Denna flerstegsattack är en del av Anatsas strategi för bestående framgång. Genom att ligga vilande i tidiga skeden och endast aktiveras efter att ha vunnit förtroende och dragkraft, undviker kampanjen tidig upptäckt och maximerar sin effekt under ett kort men effektivt distributionsfönster, i detta fall från 24 juni till 30 juni 2025.

Avancerade funktioner för ekonomiskt bedrägeri

När Anatsa är installerat möjliggör den en rad skadliga aktiviteter som syftar till ekonomisk exploatering:

  • Stöld av autentiseringsuppgifter genom overlay-attacker och keylogging.
  • Enhetsövertagandebedrägeri (DTO) för att initiera transaktioner direkt från användarens enhet.
  • Hindring av användaråtgärder via falska underhållsmeddelanden som förhindrar åtkomst till legitima bankappar och försenar upptäckten.

Dessa överlagringar lurar användare att tro att deras bankapp tillfälligt är nere för underhåll, när i själva verket används inloggningsuppgifter för obehöriga transaktioner.

Global utveckling av Anatsa-hotet

Anatsa upptäcktes första gången 2020 och har utvecklats avsevärt. Tidigare under 2024 riktade den in sig på användare i Slovakien, Slovenien och Tjeckien med liknande taktiker, och godartade appar blev skadliga veckor efter den första lanseringen. Den skadliga programvarans förmåga att anpassa sig och utöka sitt geografiska fokus understryker dess ihållande hot mot mobilbankskunder över hela världen.

Den senaste nordamerikanska kampanjen återspeglar Anatsas ökande intresse för amerikanska och kanadensiska finansinstitut, samt dess förmåga att snabbt ställa om och återanvända framgångsrika attackmetoder med mindre justeringar.

Skyddsåtgärder och branschrespons

Organisationer inom finanssektorn uppmanas att:

  • Övervaka misstänkt aktivitet som kommer från mobila enheter.
  • Utbilda kunder om farorna med falska appöverlägg och obehöriga uppdateringar.
  • Stärk autentiseringsmekanismerna för att upptäcka bedrägerier även när inloggningsuppgifter har äventyrats.

Viktiga varningssignaler för användare:

  • Appar som begär ovanliga behörigheter efter uppdateringar.
  • Plötsligt dyker "underhålls"-överlagringar upp på bankappar.
  • Inkonsekvenser i apputvecklarens namn eller appkategori.

Google har uppgett att de skadliga apparna som är inblandade i den här kampanjen har tagits bort från Google Play Store.

Slutliga tankar

Anatsa-kampanjen är en skarp påminnelse om hur snabbt förtroende kan utnyttjas i digitala ekosystem. Genom att smälta in i den betrodda miljön i Google Play Store lyckades skadlig kod infiltrera tusentals enheter. Kontinuerlig utbildning, proaktiv säkerhetsövervakning och en hälsosam dos skepticism är fortfarande det bästa försvaret mot sådana föränderliga hot.

 

Trendigt

Mest sedda

Läser in...