Istraživači iz ThreatFabric-a identifikovali su novu sofisticiranu kampanju Anatsa bankarskog trojanca, usmjerenu na korisnike mobilnog bankarstva širom Sjedinjenih Država i Kanade, što predstavlja treću veliku ofanzivu ovog zlonamjernog softvera protiv sjevernoameričkih finansijskih institucija.
Ova najnovija kampanja predstavlja značajnu eskalaciju u oblasti prijetnji, jer su sajberkriminalci uspješno infiltrirali zvaničnu Google Play prodavnicu kako bi distribuirali svoj zlonamjerni teret prerušen u legitimne aplikacije.
Sigurnosni istraživači izvještavaju da je zlonamjerni softver već postigao preko 50.000 preuzimanja prije nego što je otkriven i uklonjen.
Anatsa, poznat i kao TeaBot, je visokosofisticirani bankarski trojanac kojeg stručnjaci za sajberbezbjednost prate od 2020. godine.
Ovaj zlonamjerni softver specijalizirao se za napade preuzimanja kontrole nad uređajima, omogućavajući sajberkriminalcima da ukradu bankarske akreditive putem overlay napada, bilježe unos podataka na tastaturi i izvršavaju lažne transakcije direktno sa zaraženih uređaja.
Istraživači ThreatFabric-a klasifikuju grupu odgovornu za Anatsa kao “jednog od najplodnijih operatera u krajoliku mobilnog kriminalnog softvera”, napominjući njihove dosljedno visoke stope uspješnosti u više kampanja. Kampanja Anatsa slijedi proračunati višestepeni pristup osmišljen da izbjegne detekciju.
Akteri prijetnji prvo uspostavljaju legitimne developerske profile na Google Play-u i postavljaju naizgled bezopasne aplikacije poput čitača PDF dokumenata, čistača telefona ili upravitelja datoteka.
Ove aplikacije funkcionišu normalno sedmicama ili mjesecima, stječući značajnu korisničku bazu prije nego što se uvedu zlonamjerna ažuriranja. Najnovija sjevernoamerička kampanja služi kao primjer ove strategije.
Zlonamjerna aplikacija za čitanje PDF dokumenata popela se na treće mjesto u kategoriji “Najbolji besplatni alati” na američkoj Google Play prodavnici prije nego što je, otprilike šest sedmica nakon prvog objavljivanja, pretvorena u oružje.
Sigurnosna analiza pokazuje da Anatsa koristi posebno obmanjujuće overlay napade usmjerene na bankarske aplikacije. Kada žrtve pokušaju pristupiti svojim aplikacijama za mobilno bankarstvo, zlonamjerni softver prikazuje lažne poruke o održavanju koje glase: “Zakazano održavanje: Trenutno poboljšavamo naše usluge i uskoro ćemo sve vratiti u funkciju. Hvala na strpljenju.”
Ova taktika služi dvostrukoj svrsi: prikrivanju zlonamjernih aktivnosti, istovremeno sprječavajući korisnike da kontaktiraju legitimnu korisničku podršku, čime se odgađa otkrivanje lažnih operacija.
Trenutna kampanja demonstrira Anatsine rastuće ambicije, pri čemu istraživači bilježe širi spisak meta koji obuhvata veći broj američkih aplikacija za mobilno bankarstvo. Zlonamjerni softver sada može ciljati preko 650 finansijskih institucija širom svijeta, s posebnim fokusom na velike sjevernoameričke banke uključujući JP Morgan, Capital One, TD Bank i Schwab. Kratki, ali uticajni period distribucije od 24. do 30. juna naglašava sposobnost operatera da maksimiziraju štetu, istovremeno minimizirajući izloženost sigurnosnim mjerama.
Stručnjaci za sajberbezbjednost pozivaju finansijske institucije da hitno obavijeste kupce o rizicima preuzimanja aplikacija iz bilo kojeg izvora, uključujući zvanične prodavnice aplikacija. Organizacijama se savjetuje da implementiraju pojačano praćenje neuobičajenih aktivnosti na korisničkim računima i educiraju korisnike o opasnostima odobravanja dozvola za usluge pristupačnosti aplikacijama kojima to nije potrebno. Kampanja Anatsa naglašava evoluirajući pejzaž prijetnji s kojim se suočavaju korisnici mobilnog bankarstva, pokazujući da čak ni zvanične prodavnice aplikacija ne mogu garantovati potpunu zaštitu od sofisticiranih zlonamjernih softverskih operacija usmjerenih na finansijska sredstva.
Upozorenje je objavljeno na blogu sigurnosne firme ThreatFabric, detaljno opisujući kampanju Anatsa bankarskog trojanca. Metodologija napada uključuje distribuciju zlonamjernog softvera putem Google Play prodavnice, prerušenog u legitimne aplikacije kao što su čitači PDF-a ili alati za čišćenje telefona. Prevaranti, poznati kao “proizvođači”, mame žrtve tako što prvo stvaraju povjerenje tako što aplikacije objavljuju kao funkcionalne alate, a zatim nakon nekog vremena uvode zlonamjerna ažuriranja. Ovim ažuriranjima, zlonamjerni softver Anatsa koristi overlay napade, prikazujući lažne poruke o održavanju kako bi prevario korisnike dok kradu njihove bankarske akreditive i izvršavaju lažne transakcije. Cilj je da se korisnici spriječe da kontaktiraju legitimnu podršku, čime se odgađa otkrivanje prevare. Ova taktika je slična drugim nedavnim kampanjama gdje su zlonamjerne aplikacije uspjele prikupiti značajan broj preuzimanja prije nego što su otkrivene, što ukazuje na sofisticiranost i upornost ovih sajberkriminalnih grupa.
