Anatsa Android Trojan preuzet 150.000 puta

Anatsa Android Trojan preuzet 150.000 puta, pokazuju podaci sigurnosne kompanije ThreatFabric. Riječ je o bankarskom trojancu koji je ciljao korisnike u Evropi inficirajući Android uređaje putem ubacivača zlonamjernog softvera koji se nalaze na Google Play prodavnici. U protekla četiri mjeseca, primijećeno je pet kampanja prilagođenih za isporuku zlonamjernog softvera korisnicima u Velikoj Britaniji, Njemačkoj, Španiji, Slovačkoj, Sloveniji i Češkoj.

Anatsa Android Trojan preuzet 150.000 puta; Source: Bing Image Creator

ANDROID USLUGE PRISTUPAČNOSTI

Usluge pristupačnosti (eng. AccessibilityService) u Android operativnom sistemu su funkcija koju mobilni zlonamjerni softver često koristi za obavljanje štetnih aktivnosti. Istorijski gledano, zlonamjerni ubacivači u zvaničnim prodavnicama aplikacija koristili su usluge pristupačnosti da automatizuju instalaciju korisnih opterećenja, omogućavajući im da završe proces instalacije bez interakcije korisnika i na taj način povećavaju stopu uspješnosti pretvaranja instalacija ubacivača u stvarne primjene korisnog opterećenja.

Međutim, kompanija Google je 2017. godine ažurirala svoju politiku za aplikacije na Google Play prodavnici koje koriste usluge pristupačnosti zbog čega je ova taktika zlonamjernih aktera doživjela pad. Prema novim smjernicama, aplikacije moraju da pruže jasno objašnjenje za zahtev korištenja usluge pristupačnosti. To je dovelo do značajnog smanjenja ove zloupotrebe od strane zlonamjernih aktera, što je dovelo do promjene u njihovim operativnim metodama.

Nedavna ažuriranja smjernica na Google Play prodavnici su nametnula još stroža ograničenja za korištenje usluge usluge pristupačnosti. Da bi aplikacija sada koristila ovu uslugu i bila objavljena na Google Play prodavnici, potrebno joj je dodatno odobrenje, što značajno smanjuje vjerovatnoću da zlonamjerne aplikacije iskorišćavaju ovu funkciju.

Iako se smatra zastarelim, stara taktika se povremeno pojavljuje u zvaničnim prodavnicama aplikacija. U novembru 2023. godine identifikovan je ubacivač na Google Play prodavnici koji distribuira zlonamjerni softver Anatsa.

ANATSA TROJAN

Poznat pod imenima TeaBot i Toddler, Anatsa zlonamjerni softver je prilično napredan Android bankarski trojanac sa RAT mogućnostima. Može da izvodi klasične napade preklapanja kako bi ukrao akreditive, evidentiranje pristupačnosti (hvatanje svega što je prikazano na ekranu korisnika) i praćenja unosa korisnika (eng. keylogging).

Najnoviji nalazi pokazuju da Anatsa zlonamjerni softver sada koristi posebno pripremljene aplikacije u Google Play prodavnici vršeći distribuciju pod maskom naizgled bezazlenih aplikacija. Ove aplikacije, nazvane ubacivači, olakšavaju instalaciju zlonamjernog softvera tako što zaobilaze bezbjednosne mjere koje je nametnuo Google, a koje nastoje da daju osjetljive dozvole.

Ubacivači sada implementiraju višestepeni proces infekcije uz zloupotrebu Android usluge pristupačnosti kako bi zaobišle bezbjednosne mjere prisutne u verzijama mobilnog operativnog sistema do verzije Android 13.

ZLONAMJERNE APLIKACIJE

U najnovijoj kampanji Anatsa zlonamjernog softvera, zlonamjerni akteri koriste i PDF i lažne aplikacije za čišćenje koje obećavaju da će osloboditi prostor na uređaju brisanjem nepotrebnih datoteka. Sigurnosni istraživači kažu da je broj 150.000 preuzimanja Anatsa zlonamjernog softvera na Google Play prodavnici opitimističan i da bi stvarni broj bio bliže 200.000 jer su u obzir uzimali niže procjene. Pet zlonamjernih aplikacija su:

• Phone Cleaner – File Explorer (com.volabs.androidcleaner)
• PDF Viewer – File Explorer (com.xolab.fileexplorer)
• PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
• Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
• PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)

Primjera radi, aplikacija pod nazivom “Phone Cleaner – File Explorer” je preuzeta preko 10.000 puta, dok je aplikacija “PDF Reader: File Manager”  preuzeta preko 100.000 puta.

VIŠESTEPENI PROCES INFEKCIJE

Kako bi izbjegli da budu otkriveni, zlonamjerni akteri preuzimaju zlonamjerni kôd  sa C2 u četiri različita koraka, što je vjerovatno taktika da se izbjegne otkrivanje i označavanje Google mehanizmima za pregled kôda. Najnovija verzija ubacivača je pokazala poboljšanje, dinamički preuzimajući sljedeće datoteke sa servera za komandu i kontrolu:

• Konfiguraciju sa C2 servera koji sadrži osnovne nizove za zlonamjerni kôd, izbjegavajući trenutno otkrivanje sakrivanjem sumnjivih indikatora,
• DEX datoteku sa zlonamjernim kôdom odgovornim za instalaciju korisnog opterećenja, aktiviranu prethodno preuzetim nizovima,
• Preuzimanje konfiguracione datoteke sa URL adresom korisnog opterećenja, omogućavajući napadačima da ažuriraju vezu korisnog opterećenja po potrebi,
• Upotreba DEX datoteke za preuzimanje, instaliranje i pokretanje Anatsa zlonamjernog softvera, dovršavajući proces infekcije.

Zaobilaženje Android 13 ograničenja

Ubacivači u najnovijoj kampanji Anatsa zlonamjernog softvera efikasno instaliraju korisna opterećenja, zaobilazeći ograničenja usluge pristupačnosti Android 13 operativnog sistema. Ovu tehniku, koja može da zaobiđe određena ograničenja sve više usvajaju razni zlonamjerni akteri. Ona osigurava da ubacivači mogu da instaliraju zlonamjerna korisna opterećenja bez da im se onemogući pristup funkcijama usluge pristupačnosti. U ovoj kampanji, sva tri primijećena ubacivača koriste ovaj metod i koriste dinamički učitane DEX datoteke, dodatno poboljšavajući njihovu sposobnost da izbjegnu detekciju od strane bezbjednosnih mehanizama.

ZAKLJUČAK

U dinamičnom okruženju sajber prijetnji koje se stalno mijenjaju, ostati informisan je prvi korak. Strategija distribucije i mogućnosti udaljenog pristupa Anatsa zlonamjernog softvera ga klasifikuju kao kritičnu prijetnju u ciljanim regionima. Do sada prikupljene informacije ukazuju na to da zlonamjerni akteri preferiraju koncentrisane napade na određene regione, a ne globalno širenje, povremeno mijenjajući fokus. To im omogućava da se koncentrišu na ograničen broj finansijskih organizacija, što dovodi do velikog broja slučajeva prevare za kratko vreme.

Zbog toga je efikasno otkrivanje i praćenje zlonamjernih aplikacija, zajedno sa uočavanjem neobičnog ponašanja naloga korisnika, ključni su za identifikaciju i istragu potencijalnih slučajeva prevare povezanih sa mobilnim zlonamjernim softverom za preuzimanje uređaja kao što je Anatsa zlonamjerni softver.

ZAŠTITA

Korisnici mogu dodatno zaštititi svoje uređaje i umanjiti rizike povezane sa ovim vrstama zlonamjernog softvera prateći sljedeće preporuke:

• Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
• Pouzdana sigurnosna aplikacija za Android operativni sistem štiti uređaj korisnika od zlonamjernih aplikacija. Sigurnosne aplikacije pružaju dodatni sloj zaštite skeniranjem i identifikacijom potencijalno štetnih aplikacija, otkrivanjem zlonamjernog softvera i upozoravanjem korisnika na sumnjive aktivnosti,
• Korisnici trebaju prilikom preuzimanja aplikacije iz Google Play prodavnice trebaju obratiti pažnju na na recenzije korisnika (možda nisu dostupne u nezvaničnim prodavnicama). Ključno je biti svjestan da pozitivne kritike mogu biti lažne kako bi se povećao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pažljivo procjene zabrinutosti korisnika, jer mogu otkriti važne informacije o zlonamjernoj aplikaciji,
• Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije.