Кампанія з атаки шкідливого програмного забезпечення для мобільних пристроїв Anatsa
Дослідники з кібербезпеки виявили нову хвилю атак шкідливого програмного забезпечення для банківських систем Android, організованих за допомогою трояна Anatsa. Ця складна загроза, також відома як TeaBot або Toddler, знову з'явилася в кампанії, спрямованій на користувачів у Сполучених Штатах та Канаді, використовуючи шахрайські тактики через, здавалося б, легітимні програми, опубліковані в Google Play Store.
Зміст
Шкідливе програмне забезпечення маскується під інструменти для роботи з документами
У центрі кампанії знаходиться додаток-дроппер, замаскований під утиліту під назвою «Переглядач документів — читач файлів» (APK-пакет: «com.stellarastra.maintainer.astracontrol_managerreadercleaner»). Додаток, що видає себе як нешкідливий інструмент для роботи з PDF-файлами, був опублікований розробником під назвою «Hybrid Cars Simulator, Drift & Racing», назва якого сама по собі викликає підозру. Після того, як він зібрав значну кількість завантажень, оновлення вбудувало шкідливий код, який завантажував та встановлював Anatsa на пристрої жертв.
Цей конкретний додаток був запущений 7 травня 2025 року та досяг четвертої позиції в категорії «Найкращі безкоштовні інструменти» до 29 червня 2025 року. На той час його було завантажено приблизно 90 000 разів, перш ніж його було видалено. Відтоді Google підтвердив видалення цього додатка та пов’язаного з ним облікового запису розробника з Play Store.
Приховані стратегії та знайомий посібник
Кампанія Anatsa дотримується перевіреного часом циклу:
Легальне розгортання програми : завантажте чисту, повністю функціональну програму в Play Store.
Затримка зараження : після створення значної бази користувачів, розповсюджуйте оновлення, що містить шкідливий код.
Тиха інсталяція : Шкідливе програмне забезпечення інсталюється як окремий додаток, поза межами оригінального пакета.
Призначення цілі : Отримує список фінансових установ для атаки, динамічно вибраний із зовнішнього сервера.
Ця багатоетапна атака є частиною стійкої стратегії успіху Anatsa. Перебуваючи в стані спокою на ранніх стадіях та активуючись лише після завоювання довіри та підтримки, кампанія уникає раннього виявлення та максимізує свій вплив протягом короткого, але ефективного періоду розповсюдження, у цьому випадку з 24 по 30 червня 2025 року.
Розширені можливості боротьби з фінансовим шахрайством
Після встановлення Anatsa дозволяє здійснювати низку шкідливих дій, спрямованих на фінансову експлуатацію:
- Крадіжка облікових даних через атаки з накладанням та кейлогери.
Ці накладання обманюють користувачів, змушуючи їх думати, що додаток їхнього банку тимчасово недоступний на технічне обслуговування, хоча насправді облікові дані викрадаються та потенційно використовуються для несанкціонованих транзакцій.
Глобальна еволюція загрози Анатса
Вперше виявлена у 2020 році, програма Anatsa значно еволюціонувала. Раніше, у 2024 році, вона була спрямована на користувачів у Словаччині, Словенії та Чеській Республіці, використовуючи схожу тактику, а нешкідливі програми ставали шкідливими через кілька тижнів після першого випуску. Здатність шкідливого програмного забезпечення адаптуватися та розширювати свій географічний охоплення підкреслює його постійну загрозу для клієнтів мобільного банкінгу в усьому світі.
Остання північноамериканська кампанія відображає зростаючий інтерес Anatsa до фінансових установ США та Канади, а також її здатність швидко змінюватися та повторно використовувати успішні методи атаки з незначними змінами.
Захисні заходи та реагування галузі
Організаціям у секторі фінансових послуг рекомендується:
- Відстежуйте підозрілу активність, що походить з мобільних пристроїв.
- Поясніть клієнтам небезпеку підроблених оверлеїв додатків та несанкціонованих оновлень.
- Посилити механізми автентифікації для виявлення шахрайства навіть у разі компрометації облікових даних.
Ключові червоні прапорці для користувачів:
- Програми, які запитують незвичайні дозволи після оновлень.
- Раптова поява накладок «технічне обслуговування» в банківських додатках.
- Невідповідності в імені розробника програми або категорії програми.
Google заявив, що шкідливі програми, задіяні в цій кампанії, були видалені з Google Play Store.
Заключні думки
Кампанія Anatsa є яскравим нагадуванням про те, як швидко можна зловживати довірою в цифрових екосистемах. Змішавшись із надійним середовищем Google Play Store, шкідливе програмне забезпечення успішно проникло в тисячі пристроїв. Постійне навчання, проактивний моніторинг безпеки та здорова доза скептицизму залишаються найкращим захистом від таких загроз, що постійно розвиваються.
