Trojan trên Android mới – Anatsa đã vượt qua hàng rào bảo mật của Google Play

www.tuoitre.vn -   16/02/2024 08:00:00 252

Một trojan ngân hàng Android mới có tên Anatsa đã mở rộng trọng tâm tấn công sang Slovakia, Slovenia và Séc như một phần của chiến dịch mới được quan sát vào tháng 11 năm 2023 sau khi vượt qua hàng rào bảo mật của Google Play.

Trojan trên Android mới – Anatsa đã vượt qua hàng rào bảo mật của Google Play

Một số công cụ nhỏ giọt trong chiến dịch đã khai thác thành công dịch vụ trợ năng, bất chấp cơ chế bảo vệ và phát hiện nâng cao của Google Play. Tất cả công cụ nhỏ giọt trong chiến dịch này đã chứng tỏ khả năng vượt qua các cài đặt bị hạn chế đối với dịch vụ trợ năng trong Android 13. Tổng cộng, chiến dịch bao gồm năm công cụ nhỏ giọt với tổng số hơn 100.000 lượt cài đặt.

Còn được biết đến với cái tên TeaBot và Toddler, Anatsa được biết đến là nơi phân phối dưới vỏ bọc các ứng dụng tưởng chừng như vô hại trên Cửa hàng Google Play. Các ứng dụng này, được gọi là droppers, tạo điều kiện thuận lợi cho việc cài đặt phần mềm độc hại bằng cách phá vỡ các biện pháp bảo mật do Google áp đặt nhằm tìm cách cấp các quyền nhạy cảm.

Vào tháng 6 năm 2023, các nhà bảo mật di động Hà Lan đã tiết lộ một chiến dịch Anatsa nhắm mục tiêu đến các khách hàng ngân hàng ở Hoa Kỳ, Anh, Đức, Áo và Thụy Sĩ ít nhất kể từ tháng 3 năm 2023 bằng cách sử dụng các ứng dụng nhỏ giọt đã được tải xuống tổng cộng hơn 30.000 lần trên Cửa hàng Play.

Anatsa được trang bị khả năng giành toàn quyền kiểm soát các thiết bị bị nhiễm và thực hiện các hành động thay mặt nạn nhân. Nó cũng có thể đánh cắp thông tin đăng nhập để thực hiện các giao dịch gian lận.

Lần xuất hiện lại mới nhất được quan sát vào tháng 11 năm 2023 không khác gì một trong những ứng dụng nhỏ giọt giả dạng ứng dụng dọn dẹp điện thoại có tên "Phone Cleaner - File Explorer" (tên gói "com.volabs.androidcleaner") và tận dụng một kỹ thuật gọi là lập phiên bản để giới thiệu nó.

Mặc dù ứng dụng không còn có sẵn để tải xuống từ cửa hàng chính thức dành cho Android nhưng bạn vẫn có thể tải xuống ứng dụng này thông qua các nguồn bên thứ ba sơ sài khác.

Theo số liệu thống kê có sẵn trên nền tảng thông minh ứng dụng AppBrain, ứng dụng này ước tính đã được tải xuống khoảng 12.000 lần trong thời gian có mặt trên Google Play Store từ ngày 13 tháng 11 đến ngày 27 tháng 11, khi nó chưa được xuất bản.

Các nhà nghiên cứu bảo mật cho biết: “Ban đầu, ứng dụng này có vẻ vô hại, không có mã độc và dịch vụ trợ năng của nó không tham gia vào bất kỳ hoạt động có hại nào”.

“Tuy nhiên, một tuần sau khi phát hành, một bản cập nhật đã giới thiệu mã độc. Bản cập nhật này đã thay đổi chức năng dịch vụ trợ năng, cho phép nó thực thi các hành động độc hại như tự động nhấp vào nút sau khi nhận được cấu hình từ máy chủ [lệnh và điều khiển]. "

Điều khiến ứng dụng nhỏ giọt đáng chú ý là việc lạm dụng dịch vụ trợ năng của nó được điều chỉnh cho phù hợp với các thiết bị của Samsung, cho thấy rằng nó được thiết kế để nhắm mục tiêu độc quyền vào các thiết bị cầm tay do công ty sản xuất tại một số thời điểm, mặc dù các ứng dụng nhỏ giọt khác được sử dụng trong chiến dịch được cho là không liên quan đến nhà sản xuất. .

Những ứng dụng nhỏ giọt cũng có khả năng phá vỡ các cài đặt bị hạn chế của Android 13 bằng cách bắt chước quy trình được các thị trường sử dụng để cài đặt ứng dụng mới mà không bị vô hiệu hóa quyền truy cập vào các chức năng của dịch vụ trợ năng, như đã thấy trước đây trong trường hợp các dịch vụ nhỏ giọt như SecuriDropper.

Hơn nữa, người ta đã quan sát thấy các ứng dụng nhỏ giọt sử dụng cách tiếp cận nhiều giai đoạn để tránh bị phát hiện, tải xuống động cấu hình và tải trọng APK từ máy chủ C2, cho phép các tác nhân đe dọa thay đổi các thành phần độc hại theo ý muốn.

"Tất cả các ứng dụng được xác định trong báo cáo đều đã bị xóa khỏi Google Play. Người dùng Android được Google Play Protect tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này. Tính năng này được bật theo mặc định trên các thiết bị Android có Dịch vụ của Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi nguy hiểm, ngay cả khi những ứng dụng đó đến từ các nguồn bên ngoài Google Play."

Dưới đây là danh sách đầy đủ các công cụ nhỏ giọt Anatsa đã bị xóa khỏi Cửa hàng Google Play –

Phone Cleaner - File Explorer (com.volabs.androidcleaner)

PDF Viewer - File Explorer (com.xolab.fileexplorer)

PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)

Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)

PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)

Điều đáng lưu ý là PDF Reader: File Manager có hơn 10.000 lượt cài đặt tại thời điểm được phát hiện vào tuần trước, nhưng đã tăng vọt lên 100.000 lượt cài đặt trước khi bị xóa vào ngày 19 tháng 2 năm 2024.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Các cuộc tấn công ransomware tiếp tục nh...

21/11/2024 08:00:00 401
Từ tháng 1 đến tháng 6 năm 2024, các giải pháp an ninh mạng cho doanh nghiệp của Kaspersky đã phát h...

Các mối đe dọa an ninh mạng tại Việt Nam...

20/11/2024 08:00:00 417
Dữ liệu mới nhất từ Kaspersky đã gióng lên hồi chuông cảnh báo về tình hình an ninh mạng Việt Nam. C...

Nhóm tin tặc Lazarus khai thác lỗ hổng z...

07/11/2024 08:00:00 353
Tại Hội nghị Chuyên gia Phân tích An ninh mạng (SAS) 2024 diễn ra ở Bali, nhóm Phân tích và Nghiên c...

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 90
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 87
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 89
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button