Der Banking-Trojaner Anatsa zielt auf Benutzer in den USA, Großbritannien, Deutschland, Österreich und der Schweiz ab

Der Banking-Trojaner Anatsa zielt auf Benutzer in den USA, Großbritannien, Deutschland, Österreich und der Schweiz ab

27. Juni 2023Ravi LakshmananMobile Sicherheit / Malware

Seit Anfang März 2023 wurde beobachtet, dass eine neue Android-Malware-Kampagne mit dem Banking-Trojaner Anatsa Bankkunden in den USA, Großbritannien, Deutschland, Österreich und der Schweiz ins Visier nimmt.

„Die Akteure hinter Anatsa zielen darauf ab, Zugangsdaten zu stehlen, die zur Autorisierung von Kunden in Mobile-Banking-Anwendungen verwendet werden, und Geräteübernahmebetrug (Device Takeover, DTO) durchzuführen, um betrügerische Transaktionen einzuleiten“, sagte ThreatFabric. Er sagte In Analysis, veröffentlicht am Montag.

Das niederländische Cybersicherheitsunternehmen gab an, dass mit Anatsa infizierte Dropper-Apps im Google Play Store bisher mehr als 30.000 Installationen verzeichnet haben, was darauf hindeutet, dass die offizielle App-Storefront zu einer effektiven Verbreitungsmethode für Malware geworden ist.

Banking-Trojaner Anatsa

Anatsa, auch bekannt als TeaBot und Toddler, erschien erstmals in Anfang 2021, und es wurde beobachtet, dass sie sich bei Google Play als scheinbar harmlose Hilfsanwendungen wie PDF-Reader, QR-Code-Scanner und Zwei-Faktor-Authentifizierungs-Apps (2FA) tarnen, um die Anmeldeinformationen der Benutzer zu stehlen. Seitdem hat es sich zu einer der am weitesten verbreiteten Banken-Malware entwickelt und richtet sich gegen mehr als 400 Finanzinstitute weltweit.

Der Trojaner verfügt über Backdoor-ähnliche Fähigkeiten zum Stehlen von Daten und führt außerdem Overlay-Angriffe durch, um Anmeldeinformationen und Verlaufsaktivitäten zu stehlen, indem er deren Berechtigungen in der Android Accessibility Services API missbraucht. Es kann auch bestehende Betrugsbekämpfungsmechanismen umgehen, um unbefugte Geldtransfers durchzuführen.

Elektronische Sicherheit

ThreatFabric stellte fest: „Da Transaktionen über dasselbe Gerät initiiert werden, das gezielte Bankkunden regelmäßig verwenden, ist es Berichten zufolge für Banken-Betrugsbekämpfungssysteme sehr schwierig zu erkennen.“

In der jüngsten Kampagne, die ThreatFabric aufgefallen ist, stellt die Dropper-App nach der Installation eine Anfrage an eine GitHub-Seite, die auf eine andere GitHub-URL verweist, die die bösartige Nutzlast hostet, die darauf abzielt, Opfer zu täuschen, indem sie sich als App-Add-ons ausgibt. Es besteht der Verdacht, dass Benutzer durch fragwürdige Werbung auf diese Apps geleitet werden.

Banking-Trojaner Anatsa

Ein bemerkenswerter Aspekt von Dropper ist die Verwendung der eingeschränkten Berechtigung „REQUEST_INSTALL_PACKAGES“, die häufig von betrügerischen Apps, die über den Google Play Store verbreitet werden, ausgenutzt wird, um zusätzliche Malware auf dem infizierten Gerät zu installieren. Die Namen der Anwendungen lauten wie folgt:

  • Alle Dokumentenleser und -editoren (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
  • Lese- und Anzeigeprogramm für alle Dokumente (com.muchlensoka.pdfcreator)
  • PDF Reader – PDF bearbeiten und anzeigen (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
  • PDF-Reader und -Editor (com.proderstarler.pdfsignature)
  • PDF-Reader und -Editor (moh.filemanagerrespdf)
Siehe auch  Verwertungssystem gewinnt Land in der Schweiz

Alle fünf fraglichen Dropper-Apps sollen nach ihrer ersten Bereitstellung aktualisiert worden sein, wahrscheinlich in einem subtilen Versuch, schädliche Funktionen zu überspringen, nachdem sie bei der ersten Einreichung den App-Überprüfungsprozess bestanden hatten.

Die Liste der für Anatsa interessanten Länder, basierend auf der Anzahl der gezielten Finanz-Apps, umfasst die Vereinigten Staaten, Italien, Deutschland, das Vereinigte Königreich, Frankreich, die Vereinigten Arabischen Emirate, die Schweiz, Südkorea, Australien und Schweden. Ebenfalls auf der Liste stehen Finnland, Singapur und Spanien.

„Anatsas neueste Kampagne deckt die sich entwickelnde Bedrohungslandschaft auf, mit der Banken und Finanzinstitute in der heutigen digitalen Welt konfrontiert sind“, sagte ThreatFabric. Aktuelle Vertriebsaktionen im Google Play Store […] Dies zeigt das enorme Potenzial für mobilen Betrug und die Notwendigkeit, proaktive Maßnahmen zu ergreifen, um solchen Bedrohungen entgegenzuwirken.“

Fanden Sie diesen Artikel interessant? Folgen Sie uns Twitter Und LinkedIn Um mehr von unseren exklusiven Inhalten zu lesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert