Kampania ataku złośliwego oprogramowania Anatsa Mobile

Badacze cyberbezpieczeństwa odkryli nową falę ataków złośliwego oprogramowania bankowego na Androida, przeprowadzonych za pośrednictwem trojana Anatsa. To wyrafinowane zagrożenie, znane również jako TeaBot lub Toddler, powróciło wraz z kampanią wymierzoną w użytkowników w Stanach Zjednoczonych i Kanadzie, wykorzystującą zwodnicze taktyki za pośrednictwem pozornie legalnych aplikacji publikowanych w sklepie Google Play.

Oprogramowanie złośliwe podszywające się pod narzędzia dokumentacyjne

W centrum kampanii znajduje się aplikacja typu dropper podszywająca się pod narzędzie o nazwie „Document Viewer - File Reader” (pakiet APK: „com.stellarastra.maintainer.astracontrol_managerreadercleaner”). Aplikacja, podszywająca się pod nieszkodliwe narzędzie do odczytu plików PDF, została wydana przez dewelopera o nazwie „Hybrid Cars Simulator, Drift & Racing”, co samo w sobie budzi podejrzenia. Po osiągnięciu znacznej liczby pobrań, aktualizacja zawierała złośliwy kod, który pobierał i instalował Anatsę na urządzeniach ofiar.

Ta konkretna aplikacja została udostępniona 7 maja 2025 roku i do 29 czerwca 2025 roku zajęła czwarte miejsce w kategorii „Najlepsze bezpłatne narzędzia”. Do tego czasu zgromadziła około 90 000 pobrań, zanim została usunięta. Google potwierdziło usunięcie tej aplikacji i powiązanego z nią konta programisty ze Sklepu Play.

Ukryte strategie i znany podręcznik

Kampania Anatsa przebiega według sprawdzonego cyklu:

Legalne wdrożenie aplikacji : Prześlij czystą, w pełni funkcjonalną aplikację do Sklepu Play.

Opóźniona infekcja : Po zbudowaniu znacznej bazy użytkowników należy wdrożyć aktualizację zawierającą złośliwy kod.

Cicha instalacja : złośliwe oprogramowanie instaluje się jako oddzielna aplikacja, niewidoczna z oryginalnego pakietu.

Przypisanie celu : Otrzymuje listę instytucji finansowych przeznaczonych do ataku, pobieraną dynamicznie z serwera zewnętrznego.

Ten wieloetapowy atak jest częścią trwałej strategii sukcesu Anatsy. Pozostając uśpionym na wczesnych etapach i aktywując się dopiero po zdobyciu zaufania i popularności, kampania unika wczesnego wykrycia i maksymalizuje swój wpływ w krótkim, ale skutecznym oknie dystrybucji, w tym przypadku od 24 do 30 czerwca 2025 roku.

Zaawansowane możliwości wykrywania oszustw finansowych

Po zainstalowaniu Anatsa umożliwia szereg złośliwych działań mających na celu wykorzystanie finansowe:

• Kradzież danych uwierzytelniających poprzez ataki typu overlay i keyloggery.
• Oszustwa polegające na przejęciu urządzenia (DTO) polegające na inicjowaniu transakcji bezpośrednio z urządzenia użytkownika.

• Utrudnianie użytkownikom wykonywania czynności za pomocą fałszywych zawiadomień konserwacyjnych, które uniemożliwiają dostęp do legalnych aplikacji bankowych i opóźniają wykrywanie.

Tego typu nakładki oszukują użytkowników, sugerując, że aplikacja ich banku jest tymczasowo niedostępna z powodu konserwacji, podczas gdy w rzeczywistości dane uwierzytelniające są przechwytywane i potencjalnie wykorzystywane do nieautoryzowanych transakcji.

Globalna ewolucja zagrożenia Anatsa

Po raz pierwszy zauważony w 2020 roku, Anatsa znacznie się rozwinął. Na początku 2024 roku, stosując podobne taktyki, atakował użytkowników na Słowacji, w Słowenii i Czechach. Nieszkodliwe aplikacje stały się złośliwe kilka tygodni po premierze. Zdolność złośliwego oprogramowania do adaptacji i rozszerzania zasięgu geograficznego podkreśla jego stałe zagrożenie dla klientów bankowości mobilnej na całym świecie.

Najnowsza kampania w Ameryce Północnej odzwierciedla rosnące zainteresowanie firmy Anatsa instytucjami finansowymi ze Stanów Zjednoczonych i Kanady, a także jej zdolność do szybkiego dostosowywania działań i ponownego wykorzystywania skutecznych metod ataków po wprowadzeniu drobnych zmian.

Środki ochronne i reakcja branży

Organizacje działające w sektorze usług finansowych są proszone o:

• Monitoruj podejrzaną aktywność pochodzącą z urządzeń mobilnych.
• Uświadom klientów o zagrożeniach związanych z fałszywymi nakładkami na aplikacje i nieautoryzowanymi aktualizacjami.
• Wzmocnij mechanizmy uwierzytelniania, aby wykrywać oszustwa, nawet gdy dane uwierzytelniające zostaną naruszone.

Najważniejsze sygnały ostrzegawcze dla użytkowników:

• Aplikacje żądające nietypowych uprawnień po aktualizacjach.
• Nagłe pojawienie się nakładek konserwacyjnych w aplikacjach bankowych.
• Nieścisłości w nazwie twórcy aplikacji lub kategorii aplikacji.

Google poinformowało, że złośliwe aplikacje biorące udział w tej kampanii zostały usunięte ze sklepu Google Play.

Ostatnie myśli

Kampania Anatsa dobitnie pokazuje, jak szybko zaufanie może zostać wykorzystane w ekosystemach cyfrowych. Wtapiając się w zaufane środowisko sklepu Google Play, złośliwe oprogramowanie skutecznie zinfiltrowało tysiące urządzeń. Ciągła edukacja, proaktywne monitorowanie bezpieczeństwa i spora dawka sceptycyzmu pozostają najlepszą obroną przed tak ewoluującymi zagrożeniami.