Chiến dịch tấn công phần mềm độc hại di động Anatsa

Các nhà nghiên cứu an ninh mạng đã phát hiện một làn sóng tấn công phần mềm độc hại nhắm vào ngân hàng trên Android mới được dàn dựng thông qua Trojan Anatsa. Mối đe dọa tinh vi này, còn được gọi là TeaBot hoặc Toddler, đã tái xuất với một chiến dịch nhắm vào người dùng tại Hoa Kỳ và Canada, sử dụng các chiến thuật lừa đảo thông qua các ứng dụng có vẻ hợp pháp được phát hành trên Cửa hàng Google Play.

Phần mềm độc hại ngụy trang thành công cụ tài liệu

Tâm điểm của chiến dịch là một ứng dụng dropper ngụy trang thành một tiện ích có tên 'Document Viewer - File Reader' (gói APK: 'com.stellarastra.maintainer.astracontrol_managerreadercleaner'). Giả dạng là một công cụ PDF vô hại, ứng dụng này được phát hành bởi một nhà phát triển có tên 'Hybrid Cars Simulator, Drift & Racing', một cái tên tự nó đã gây nghi ngờ. Sau khi đạt được số lượng tải xuống đáng kể, một bản cập nhật đã nhúng mã độc vào và tải xuống và cài đặt Anatsa trên thiết bị của nạn nhân.

Ứng dụng này ra mắt vào ngày 7 tháng 5 năm 2025 và đạt vị trí thứ tư trong danh mục Công cụ Miễn phí Hàng đầu vào ngày 29 tháng 6 năm 2025. Tính đến thời điểm đó, ứng dụng đã đạt khoảng 90.000 lượt tải xuống trước khi bị gỡ bỏ. Google sau đó đã xác nhận việc xóa ứng dụng này và tài khoản nhà phát triển liên quan khỏi Cửa hàng Play.

Chiến lược lén lút và sổ tay hướng dẫn quen thuộc

Chiến dịch Anatsa tuân theo một chu trình đã được thử nghiệm và kiểm chứng:

Triển khai ứng dụng hợp pháp : Tải ứng dụng sạch, đầy đủ chức năng lên Cửa hàng Play.

Nhiễm trùng trì hoãn : Sau khi xây dựng được lượng người dùng đáng kể, hãy đưa ra bản cập nhật có chứa mã độc hại.

Cài đặt âm thầm : Phần mềm độc hại được cài đặt như một ứng dụng riêng biệt, nằm ngoài tầm kiểm soát của gói gốc.

Chỉ định mục tiêu : Nhận danh sách các tổ chức tài chính cần tấn công, được lấy động từ máy chủ bên ngoài.

Cuộc tấn công nhiều giai đoạn này là một phần trong chiến lược thành công bền vững của Anatsa. Bằng cách ẩn mình trong giai đoạn đầu và chỉ kích hoạt sau khi đã tạo dựng được niềm tin và sự chú ý, chiến dịch tránh bị phát hiện sớm và tối đa hóa tác động trong một khoảng thời gian phân phối ngắn nhưng hiệu quả, trong trường hợp này là từ ngày 24 tháng 6 đến ngày 30 tháng 6 năm 2025.

Khả năng nâng cao cho gian lận tài chính

Sau khi được cài đặt, Anatsa sẽ kích hoạt một loạt các hoạt động độc hại nhằm mục đích khai thác tài chính:

• Trộm cắp thông tin đăng nhập thông qua các cuộc tấn công phủ lớp và ghi lại thao tác phím.
• Gian lận chiếm quyền điều khiển thiết bị (DTO) để thực hiện giao dịch trực tiếp từ thiết bị của người dùng.

• Cản trở hành động của người dùng thông qua thông báo bảo trì giả mạo nhằm ngăn chặn quyền truy cập vào các ứng dụng ngân hàng hợp pháp và làm chậm quá trình phát hiện.

Những lớp phủ này đánh lừa người dùng nghĩ rằng ứng dụng ngân hàng của họ tạm thời ngừng hoạt động để bảo trì, trong khi thực tế, thông tin đăng nhập đang bị đánh cắp và có khả năng được sử dụng cho các giao dịch trái phép.

Sự phát triển toàn cầu của mối đe dọa Anatsa

Được phát hiện lần đầu vào năm 2020, Anatsa đã phát triển đáng kể. Đầu năm 2024, nó đã nhắm mục tiêu vào người dùng ở Slovakia, Slovenia và Cộng hòa Séc bằng các chiến thuật tương tự, các ứng dụng vô hại đã trở thành mã độc chỉ vài tuần sau khi phát hành. Khả năng thích ứng và mở rộng phạm vi địa lý của phần mềm độc hại này cho thấy mối đe dọa dai dẳng đối với khách hàng ngân hàng di động trên toàn thế giới.

Chiến dịch Bắc Mỹ mới nhất phản ánh sự quan tâm ngày càng tăng của Anatsa đối với các tổ chức tài chính của Hoa Kỳ và Canada, cũng như khả năng xoay chuyển nhanh chóng và tái sử dụng các phương pháp tấn công thành công với một số thay đổi nhỏ.

Các biện pháp bảo vệ và phản ứng của ngành

Các tổ chức trong lĩnh vực dịch vụ tài chính được khuyến khích:

• Giám sát hoạt động đáng ngờ xuất phát từ thiết bị di động.
• Giáo dục khách hàng về mối nguy hiểm của lớp phủ ứng dụng giả mạo và các bản cập nhật trái phép.
• Tăng cường cơ chế xác thực để phát hiện gian lận ngay cả khi thông tin đăng nhập bị xâm phạm.

Những dấu hiệu cảnh báo quan trọng dành cho người dùng:

• Ứng dụng yêu cầu quyền bất thường sau khi cập nhật.
• Đột nhiên xuất hiện lớp phủ "bảo trì" trên các ứng dụng ngân hàng.
• Không nhất quán trong tên nhà phát triển ứng dụng hoặc danh mục ứng dụng.

Google đã tuyên bố rằng các ứng dụng độc hại liên quan đến chiến dịch này đã bị xóa khỏi Cửa hàng Google Play.

Suy nghĩ cuối cùng

Chiến dịch Anatsa là một lời nhắc nhở rõ ràng về việc lòng tin có thể bị khai thác nhanh chóng như thế nào trong hệ sinh thái kỹ thuật số. Bằng cách trà trộn vào môi trường đáng tin cậy của Cửa hàng Google Play, phần mềm độc hại đã xâm nhập thành công vào hàng nghìn thiết bị. Việc giáo dục liên tục, giám sát an ninh chủ động và thái độ hoài nghi đúng mực vẫn là biện pháp phòng thủ tốt nhất trước những mối đe dọa ngày càng gia tăng như vậy.