Trojan trên Android mới – Anatsa đã vượt qua hàng rào bảo mật của Google Play

www.tuoitre.vn -   16/02/2024 08:00:00 82

Một trojan ngân hàng Android mới có tên Anatsa đã mở rộng trọng tâm tấn công sang Slovakia, Slovenia và Séc như một phần của chiến dịch mới được quan sát vào tháng 11 năm 2023 sau khi vượt qua hàng rào bảo mật của Google Play.

Trojan trên Android mới – Anatsa đã vượt qua hàng rào bảo mật của Google Play

Một số công cụ nhỏ giọt trong chiến dịch đã khai thác thành công dịch vụ trợ năng, bất chấp cơ chế bảo vệ và phát hiện nâng cao của Google Play. Tất cả công cụ nhỏ giọt trong chiến dịch này đã chứng tỏ khả năng vượt qua các cài đặt bị hạn chế đối với dịch vụ trợ năng trong Android 13. Tổng cộng, chiến dịch bao gồm năm công cụ nhỏ giọt với tổng số hơn 100.000 lượt cài đặt.

Còn được biết đến với cái tên TeaBot và Toddler, Anatsa được biết đến là nơi phân phối dưới vỏ bọc các ứng dụng tưởng chừng như vô hại trên Cửa hàng Google Play. Các ứng dụng này, được gọi là droppers, tạo điều kiện thuận lợi cho việc cài đặt phần mềm độc hại bằng cách phá vỡ các biện pháp bảo mật do Google áp đặt nhằm tìm cách cấp các quyền nhạy cảm.

Vào tháng 6 năm 2023, các nhà bảo mật di động Hà Lan đã tiết lộ một chiến dịch Anatsa nhắm mục tiêu đến các khách hàng ngân hàng ở Hoa Kỳ, Anh, Đức, Áo và Thụy Sĩ ít nhất kể từ tháng 3 năm 2023 bằng cách sử dụng các ứng dụng nhỏ giọt đã được tải xuống tổng cộng hơn 30.000 lần trên Cửa hàng Play.

Anatsa được trang bị khả năng giành toàn quyền kiểm soát các thiết bị bị nhiễm và thực hiện các hành động thay mặt nạn nhân. Nó cũng có thể đánh cắp thông tin đăng nhập để thực hiện các giao dịch gian lận.

Lần xuất hiện lại mới nhất được quan sát vào tháng 11 năm 2023 không khác gì một trong những ứng dụng nhỏ giọt giả dạng ứng dụng dọn dẹp điện thoại có tên "Phone Cleaner - File Explorer" (tên gói "com.volabs.androidcleaner") và tận dụng một kỹ thuật gọi là lập phiên bản để giới thiệu nó.

Mặc dù ứng dụng không còn có sẵn để tải xuống từ cửa hàng chính thức dành cho Android nhưng bạn vẫn có thể tải xuống ứng dụng này thông qua các nguồn bên thứ ba sơ sài khác.

Theo số liệu thống kê có sẵn trên nền tảng thông minh ứng dụng AppBrain, ứng dụng này ước tính đã được tải xuống khoảng 12.000 lần trong thời gian có mặt trên Google Play Store từ ngày 13 tháng 11 đến ngày 27 tháng 11, khi nó chưa được xuất bản.

Các nhà nghiên cứu bảo mật cho biết: “Ban đầu, ứng dụng này có vẻ vô hại, không có mã độc và dịch vụ trợ năng của nó không tham gia vào bất kỳ hoạt động có hại nào”.

“Tuy nhiên, một tuần sau khi phát hành, một bản cập nhật đã giới thiệu mã độc. Bản cập nhật này đã thay đổi chức năng dịch vụ trợ năng, cho phép nó thực thi các hành động độc hại như tự động nhấp vào nút sau khi nhận được cấu hình từ máy chủ [lệnh và điều khiển]. "

Điều khiến ứng dụng nhỏ giọt đáng chú ý là việc lạm dụng dịch vụ trợ năng của nó được điều chỉnh cho phù hợp với các thiết bị của Samsung, cho thấy rằng nó được thiết kế để nhắm mục tiêu độc quyền vào các thiết bị cầm tay do công ty sản xuất tại một số thời điểm, mặc dù các ứng dụng nhỏ giọt khác được sử dụng trong chiến dịch được cho là không liên quan đến nhà sản xuất. .

Những ứng dụng nhỏ giọt cũng có khả năng phá vỡ các cài đặt bị hạn chế của Android 13 bằng cách bắt chước quy trình được các thị trường sử dụng để cài đặt ứng dụng mới mà không bị vô hiệu hóa quyền truy cập vào các chức năng của dịch vụ trợ năng, như đã thấy trước đây trong trường hợp các dịch vụ nhỏ giọt như SecuriDropper.

Hơn nữa, người ta đã quan sát thấy các ứng dụng nhỏ giọt sử dụng cách tiếp cận nhiều giai đoạn để tránh bị phát hiện, tải xuống động cấu hình và tải trọng APK từ máy chủ C2, cho phép các tác nhân đe dọa thay đổi các thành phần độc hại theo ý muốn.

"Tất cả các ứng dụng được xác định trong báo cáo đều đã bị xóa khỏi Google Play. Người dùng Android được Google Play Protect tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này. Tính năng này được bật theo mặc định trên các thiết bị Android có Dịch vụ của Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi nguy hiểm, ngay cả khi những ứng dụng đó đến từ các nguồn bên ngoài Google Play."

Dưới đây là danh sách đầy đủ các công cụ nhỏ giọt Anatsa đã bị xóa khỏi Cửa hàng Google Play –

Phone Cleaner - File Explorer (com.volabs.androidcleaner)

PDF Viewer - File Explorer (com.xolab.fileexplorer)

PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)

Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)

PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)

Điều đáng lưu ý là PDF Reader: File Manager có hơn 10.000 lượt cài đặt tại thời điểm được phát hiện vào tuần trước, nhưng đã tăng vọt lên 100.000 lượt cài đặt trước khi bị xóa vào ngày 19 tháng 2 năm 2024.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 478
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 473
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 57
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

LIÊN HỆ

Thông tin liên hệ