Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Кампания за атака срещу мобилен зловреден софтуер на Anatsa

Кампания за атака срещу мобилен зловреден софтуер на Anatsa

До Mezo през Мобилен зловреден софтуер, Банков троянски конг
Превод на:

Изследователи по киберсигурност разкриха нова вълна от атаки със зловреден софтуер за банкиране в Android, организирани чрез троянския кон Anatsa. Тази сложна заплаха, известна още като TeaBot или Toddler, се появи отново с кампания, насочена към потребители в Съединените щати и Канада, използваща измамни тактики чрез привидно легитимни приложения, публикувани в Google Play Store.

Зловреден софтуер, маскиран като инструменти за документи

В центъра на кампанията е приложение за прехвърляне, маскирано като помощна програма, озаглавена „Document Viewer - File Reader“ (APK пакет: „com.stellarastra.maintainer.astracontrol_managerreadercleaner“). Представяйки се като безобиден PDF инструмент, приложението е публикувано от разработчик с име „Hybrid Cars Simulator, Drift & Racing“ – име, което само по себе си буди подозрение. След като натрупа значителен брой изтегляния, актуализация вгради зловреден код, който изтегли и инсталира Anatsa на устройствата на жертвите.

Това конкретно приложение беше пуснато на 7 май 2025 г. и достигна четвъртата позиция в категорията „Най-добри безплатни инструменти“ до 29 юни 2025 г. Дотогава то беше натрупало приблизително 90 000 изтегляния, преди да бъде свалено. Оттогава Google потвърди премахването на това приложение и свързания с него акаунт на разработчик от Play Store.

Скрити стратегии и познат наръчник

Кампанията „Анатса“ следва изпитан цикъл:

Легитимно внедряване на приложение : Качете чисто, напълно функционално приложение в Play Store.

Забавена инфекция : След изграждане на значителна потребителска база, пуснете актуализация, съдържаща злонамерен код.

Тиха инсталация : Зловредният софтуер се инсталира като отделно приложение, извън полезрението на оригиналния пакет.

Присвояване на цел : Получава списък с финансови институции за атака, извлечен динамично от външен сървър.

Тази многоетапна атака е част от трайната стратегия за успех на Anatsa. Като е в латентно състояние в ранните етапи и се активира едва след като спечели доверие и подкрепа, кампанията избягва ранното откриване и максимизира въздействието си по време на кратък, но ефективен период на разпространение, в този случай от 24 до 30 юни 2025 г.

Разширени възможности за финансови измами

След инсталиране, Anatsa позволява редица злонамерени дейности, насочени към финансова експлоатация:

  • Кражба на идентификационни данни чрез атаки с наслагване и кейлогинг.
  • Измама с превземане на устройство (DTO) за иницииране на транзакции директно от устройството на потребителя.
  • Възпрепятстване на действията на потребителите чрез фалшиви известия за поддръжка, които предотвратяват достъпа до легитимни банкови приложения и забавят откриването.

Тези наслагвания подвеждат потребителите да мислят, че приложението на банката им е временно недостъпно за поддръжка, когато в действителност идентификационните данни се крадат и потенциално се използват за неоторизирани транзакции.

Глобална еволюция на заплахата от Анаца

Забелязана за първи път през 2020 г., Anatsa се е развила значително. По-рано през 2024 г. тя атакуваше потребители в Словакия, Словения и Чехия, използвайки подобни тактики, като безобидните приложения се превръщаха в злонамерени седмици след първоначалното пускане. Способността на зловредния софтуер да се адаптира и да разширява географския си фокус подчертава постоянната му заплаха за клиентите на мобилното банкиране по целия свят.

Последната северноамериканска кампания отразява нарастващия интерес на Anatsa към финансовите институции в САЩ и Канада, както и способността ѝ да се адаптира бързо и да използва повторно успешни методи за атака с малки промени.

Защитни мерки и реакция на индустрията

Организациите във финансовия сектор се призовават да:

  • Следете за подозрителна активност, произхождаща от мобилни устройства.
  • Обучете клиентите за опасностите от фалшиви наслагвания на приложения и неоторизирани актуализации.
  • Укрепете механизмите за удостоверяване, за да откривате измами, дори когато идентификационните данни са компрометирани.

Ключови червени флагове за потребителите:

  • Приложения, които изискват необичайни разрешения след актуализации.
  • Внезапна поява на наслагвания за „поддръжка“ върху банкови приложения.
  • Несъответствия в името на разработчика на приложението или категорията на приложението.

Google заяви, че злонамерените приложения, участващи в тази кампания, са премахнати от Google Play Store.

Заключителни мисли

Кампанията Anatsa е сурово напомняне за това колко бързо може да се злоупотреби с доверието в дигиталните екосистеми. Чрез сливане с надеждната среда на Google Play Store, зловредният софтуер успешно проникна в хиляди устройства. Непрекъснатото обучение, проактивният мониторинг на сигурността и здравословната доза скептицизъм остават най-добрата защита срещу подобни развиващи се заплахи.

 

Тенденция

Unmatiotorly.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Измамниците непрекъснато измислят нови начини да подведат интернет потребителите. Много от тези схеми не разчитат на сложен зловреден софтуер, а вместо това експлоатират доверието и пропуските в...

Най-гледан

Зареждане...