AKTUÁLNE: Bankový trojan Anatsa udrel na Slovensko! Pozor, môže vám vybieliť účet. Tieto aplikácie ihneď odstráňte zo smartfónu!
Staronový malvér Anatsa expanduje. Najprv vyčíňal v Česku, prešiel už aj ku nám. Dávajte si pozor na tieto aplikácie v Obchode Play, varujú experti.
Sféra mobilného bankovníctva sa neustále vyvíja a spolu s ňou sa vyvíjajú aj hrozby, ktoré majú potenciál nabúrať sa do našich účtov a vybieliť ich. Jedným z tých známejších je bankový trojský kôň Anatsa, ktorý hlási návrat, ako informujú bezpečnostní analytici z Threat Fabric.
Novú verziu malvéru odhalili v novembri minulého roku a spolu s ňou aj päť odlišných vĺn šírenia tohto malvéru. Každá vlna sa pritom zameriavala na iný región. Pôvodne sa bankový trójsky kôň Anatsa objavil v Spojenom kráľovstve a Španielsku, no odtiaľ expandoval do Slovinska, Česka a už aj na Slovensko. Podľa expertov táto expanzia značí novú fázu operačnej stratégie malvéru.
„Kým Anatsa sa predtým zamerala na Spojené kráľovstvo, Nemecko a Španielsko, jej expanzia na Slovensko, Slovinsko a Česko signalizuje novú fázu jej operačnej stratégie.“, hovoria experti na bezpečnosť.
Bezpečnostní experti varujú, že pozorovaná aktivita malvéru sa nedá opísať inými slovami ako cielená. Kyberzločinci sa v jednej vlne útokov zameriavajú na 3-5 regiónov, v ktorých podporujú podvodné aplikácie v Obchode Play. Tieto podvodné aplikácie sa častokrát dostávajú do top-3 výberu nových bezplatných aplikácií. To podporuje dojem vierohodnosti a znižuje ostražitosť užívateľov. Tým sa prirodzene zvyšujú šance na úspešný útok.
Anatsa po infiltrácii zariadenia zneužíva Nastavenia dostupnosti. Tie pôvodne vznikli pre zdravotne postihnutých ľudí, aby aj oni mohli využívať smartfón naplno. Preto sa cez tieto nastavenia možno dostať ku kritickým komponentom smartfónu, čo veľmi často zneužívajú aj hackeri.
Táto metóda útoku zaznamenala výrazný pokles v roku 2017, kedy spoločnosť Google zaviedla prísne pravidlá pre prístup k funkciám dostupnosti. Aplikácie museli poskytnúť jasný dôvod, prečo chcú k týmto nastaveniam získať prístup. Neskôr Google pravidlá ešte viac sprísnil. Ako sme už spomenuli, malvér Anatsa nabral druhý dych v novembri minulého roku a na infiltráciu zariadenia využíva práve túto metódu útoku. Falošná aplikácia sa vydáva za čistič zariadenia a prístup k nastaveniam dostupnosti si žiada, aby mohla “hibernovať náročné aplikácie”.
Neprehliadnite
Malvér sa dostal do falošnej aplikácie cez aktualizáciu neskôr
Spočiatku aplikácia nerobila nič zlé. Bezpečnostní experti si však všimli, že približne týždeň po vydaní dostala aktualizáciu so škodlivým kódom. Tento kód aplikácií dovolil automaticky klikať, keď dostala konfiguráciu z C2 servera.
Jedinečným aspektom prvotnej vlny útokov bolo, že malvér cielil špecificky na Samsung zariadenia a bol navrhnutý tak, aby vedel pracovať s užívateľským rozhraním týchto smartfónov. Iné podvodné aplikácie s malvérom Anatsa neobsahovali túto limitáciu.
Útočníci sa zameriavajú na európske banky a do dnešného dňa bezpečnostní experti odhalili 5 podvodných aplikácií. Tie mali dokopy viac ako 100-tisíc stiahnutí. Kampaň z prvej polovice 2023 obsahovala 6 podvodných aplikácií s viac ako 130-tisíc stiahnutiami. Bezpečnostní experti upozorňujú, že kampaň malvéru Anatsa bude s najväčšou pravdepodobnosťou ešte pokračovať. Očakávať teda môžeme nové podvodné aplikácie.
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Ako sme už spomenuli, podvodné aplikácie sa dokázali v Obchode Play dostať do top výberu. Aj na základe toho bezpečnostní experti označujú malvér Anatsa ako “kritickú hrozbu”. Každá inštalácia podvodnej aplikácie predstavuje riziko infekcie. Zároveň upozorňujú, aby užívatelia neudeľovali povolenie k nastaveniam dostupnosti hocijakej aplikácii, ktorá si o toto povolenie požiada. Pri udeľovaní tohto povolenia musíte mať 150% dôveru nielen v samotnú aplikáciu, ale aj jej vývojára.
Komentáre