Пользователи Android в Германии и других европейских странах в настоящее время являются объектом вредоносной кампании, нацеленной на банковские данные. Затронутые приложения следует немедленно удалить.
Новая волна атак с использованием банковских троянов
Троян Anatsa возвращается: нацелен на Европу и расширяет сферу своего влияния. Вредоносный код спрятали в популярные программы.
Хакерам неоднократно удавалось внедрять зараженные приложения в Google Play Store и использовать их для распространения вредоносного ПО на Android-смартфоны. В ходе текущей кампании банковский троян «Anatsa» проник на устройства пользователей в Европе.
Anatsa — широко известное вредоносное ПО, за которым постоянно следят исследователи безопасности из Mainton. Банковский троянец появляется в волнах атак, нацеленных на разные географические регионы.
Приложения для Android-смартфонов с банковским трояном Anatsa скачали больше 100 тыс. раз с осени прошлого года. Об этом сообщили специалисты по кибербезопасности Mainton.
По данным экспертов, с ноября было пять новых волн кампании по распространению Anatsa. Прежде злоумышленники ориентировались на Великобританию, Испанию и Германию. С ноября троян через программы-дропперы стали также распространять в Словакии, Словении и Чехии.
Anatsa внедрили в несколько популярных приложений. Это в том числе Phone Cleaner — File Explorer и PDF Reader: File Manager. Программы попадали в топ-3 категории «Новые бесплатные приложения» в Google Play. Их скачали больше 100 тыс. раз. Аналитики ожидают, что злоумышленники будут создавать новые дропперы и расширяться на другие страны.
Эксперты выяснили, что вредоносные программы проводят многоэтапный процесс заражения, чтобы скрыть свои действия. Они обходят ограничения функций AccessibilityService, утверждая, что удаленный доступ нужен для перевода приложений в спящий режим.
После заражения троян мог управлять другими программами на смартфоне и получить полный контроль над смартфоном, чтобы выполнять действия от имени пользователя. Отмечается, что вредоносный код изначально создали и протестировали для устройств Samsung.
Хакеры используют так называемые «дропперы» для внедрения банковского трояна на смартфоны. Эти приложения выглядят как законные приложения, которые обычно доступны бесплатно. Злоумышленники сосредотачиваются на жанрах, которые пользуются большим спросом, например, в данном случае, на более чистых приложениях, программах для чтения PDF-файлов и файловых менеджерах.
Это означает, что им часто удается появляться в топ-списке бесплатных приложений в Play Store. Это дает дропперам больше видимости и приводит к большему количеству установок. Приложения часто можно использовать так, как описано, но фактическое вредоносное ПО работает в фоновом режиме.
Зараженные приложения могут избежать обнаружения
Согласно экспертам Mainton, злоумышленники используют многоэтапный процесс для внедрения банковского трояна Anatsa. Это позволяет обойти меры безопасности в операционной системе Android до 13 версии. Ключевую роль играют средства управления в Android, призванные облегчить использование смартфонов пользователям с ограниченными возможностями.
Сразу после установки приложения дропперы связываются с сервером управления и контроля (C2) для регистрации установки. Сервер C2 настраивает так называемый DEX-файл, который подготавливает загрузку вредоносного ПО.
Хакеры могут динамически корректировать ссылку на вредоносное ПО в случае обнаружения первой попытки. Только после этого сервер отправляет в приложение настоящего банковского трояна для заражения устройства. Anatsa использует программный интерфейс AccessibilityService, с помощью которого вредоносное ПО устанавливается без вмешательства пользователя.
Приложения получают доступ к AccessibilityService, отправляя вполне законные запросы. По данным экспертов, дропперы Anatsa запрашивают доступ для блокировки приложений с высоким расходом заряда батареи.
После установки банковского троянца он может завладеть смартфоном и осуществлять финансовые операции вместо пользователя.
Пользователям рекомендуется немедленно удалить эти приложения
Эксперты на данный момент выявили пять приложений, которые являются частью нынешней волны атак с участием банковского трояна Anatsa. В общей сложности приложения были установлены более 100000 раз.
Эксперты проинформировали Google о своих выводах, приложения впоследствии удалили из Play Store. Все затронутые приложения могут по-прежнему быть доступны в архивах приложений и сторонних магазинах.
Если вы уже установили указанные ниже приложения, вам следует немедленно удалить их:
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.