90 škodlivých aplikácií s miliónmi stiahnutí v Google Play šíri bankového trojana Anatsa. Tieto dve vyčnievajú, ihneď ich odstráňte!
Bezpečnostní experti upozorňujú, že malvér Anatsa sa opäť dostal do Obchodu Play a ukrýva sa za tieto aplikácie.
Bezpečnostní analytici zo Zscaler odhalili v posledných mesiacoch viac ako 90 škodlivých aplikácií, ktoré sa nachádzali v Obchode Play. Dokopy si ich stiahlo 5,5-miliónov užívateľov.
Medzi škodlivými aplikáciami sa ich objavilo pomerne veľa, ktoré ukrývali už pomerne známy malvér Anatsa. Ide o sofistikovaný škodlivý softvér, ktorý je určený na kradnutie platobných údajov a iných finančných dát. Navrhnutý je tak, aby dokázal pracovať s bankami po celom svete.
Malvér Anatsa sa najčastejšie ukrýva za niekoľko typov aplikácií, napríklad čítačky PDF súborov alebo QR skenery. Po nainštalovaní škodlivej aplikácie zneužíva nastavenia dostupnosti a citlivé povolenia. Obete malvér podvádza tak, že po otvorení bankovej aplikácie ukáže obeti svoje vlastné rozhranie, ktoré je presným klonom skutočného rozhrania legitímnej aplikácie.
Čo teda obeť vidí, je prihlasovacia obrazovka, ktorá sa nijak nelíši od prihlasovacej obrazovky bankovej alebo inej finančnej aplikácie. Malvér Anatsa však túto obrazovku vymenil za falošnú a obeť predáva svoje prihlasovacie údaje útočníkovi.
Anatsa sa dostal do pozornosti bezpečnostných expertov už niekoľkokrát a všímajú si ho opäť. Tento malvér dokáže napadnúť viac ako 650 finančných inštitúcií, pričom sa zameriava primárne na Európu, no operuje aj inde vo svete.
Neprehliadni
Ako sme už spomenuli, šíri sa cez falošné aplikácie. Presnejšie uplatňuje techniku dropper. To znamená, že keď si obeť podvodnú aplikáciu stiahne, spočiatku neobsahuje žiaden škodlivý softvér a tým pádom sa dokáže dostať do Obchodu Play. Až o niečo neskôr sa škodlivý kód do aplikácie stiahne. Väčšinou to prebieha pod zásterkou nevinnej aktualizácie.
Aké aplikácie schovávajú malvér Anatsa?
Čo sa malvéru Anatsa týka, bezpečnostní analytici pozorovali, že sa šíri cez dve aplikácie, ktoré stihli nazbierať vysoký počet stiahnutí. Prvou je aplikácia PDF Reader and File Manager od vývojára TSARKA Watchfaces. Druhou aplikáciou je QR Reader and File Manager od vývojára risovanul.
Po stiahnutí aplikácie si falošná aplikácia vyžiada aktualizáciu, ktorá pochádza z command and control servera útočníkov. Táto aktualizácia obsahuje samotný malvér Anatsa. Po stiahnutí aktualizácie prebieha niekoľko verifikačných kontrol. Bezpečnostní experti nevedia so 100% istotou určiť ich význam. S najväčšou pravdepodobnosťou ale ide o kontrolu toho, či sa malvér nestiahol do uzavretého “sandbox” prostredia, ktoré bezpečnostní analytici používajú najčastejšie na skúmanie malvéru. V sandbox prostredí nemôže malvér napáchať relevantné škody.
Po nainštalovaní aplikácie si vypýta viacero citlivých povolení, mimo iné prístup k SMS správam a nastaveniam dostupnosti. Cez ne môže zneužiť zariadenie obete a napadnúť bankové aplikácie.
Bezpečnostní experti upozorňujú, že najčastejšie podvodníci vytvárajú falošné aplikácie, ktoré slúžia ako nástroj. Môže ísť o čítačku PDF súborov, baterku, kalkulačku, záznamník alebo iné. Druhým najčastejším druhom sú personalizačné aplikácie, ktoré vám dovolia prispôsobiť si dizajn smartfónu.
Komentáre