Trojan trên Android mới – Anatsa đã vượt qua hàng rào bảo mật của Google Play
Một trojan ngân hàng Android mới có tên Anatsa đã mở rộng trọng tâm tấn công sang Slovakia, Slovenia và Séc như một phần của chiến dịch mới được quan sát vào tháng 11 năm 2023 sau khi vượt qua hàng rào bảo mật của Google Play.
Một số công cụ nhỏ giọt trong chiến dịch đã khai thác thành công dịch vụ trợ năng, bất chấp cơ chế bảo vệ và phát hiện nâng cao của Google Play. Tất cả công cụ nhỏ giọt trong chiến dịch này đã chứng tỏ khả năng vượt qua các cài đặt bị hạn chế đối với dịch vụ trợ năng trong Android 13. Tổng cộng, chiến dịch bao gồm năm công cụ nhỏ giọt với tổng số hơn 100.000 lượt cài đặt.
Còn được biết đến với cái tên TeaBot và Toddler, Anatsa được biết đến là nơi phân phối dưới vỏ bọc các ứng dụng tưởng chừng như vô hại trên Cửa hàng Google Play. Các ứng dụng này, được gọi là droppers, tạo điều kiện thuận lợi cho việc cài đặt phần mềm độc hại bằng cách phá vỡ các biện pháp bảo mật do Google áp đặt nhằm tìm cách cấp các quyền nhạy cảm.
Vào tháng 6 năm 2023, các nhà bảo mật di động Hà Lan đã tiết lộ một chiến dịch Anatsa nhắm mục tiêu đến các khách hàng ngân hàng ở Hoa Kỳ, Anh, Đức, Áo và Thụy Sĩ ít nhất kể từ tháng 3 năm 2023 bằng cách sử dụng các ứng dụng nhỏ giọt đã được tải xuống tổng cộng hơn 30.000 lần trên Cửa hàng Play.
Anatsa được trang bị khả năng giành toàn quyền kiểm soát các thiết bị bị nhiễm và thực hiện các hành động thay mặt nạn nhân. Nó cũng có thể đánh cắp thông tin đăng nhập để thực hiện các giao dịch gian lận.
Lần xuất hiện lại mới nhất được quan sát vào tháng 11 năm 2023 không khác gì một trong những ứng dụng nhỏ giọt giả dạng ứng dụng dọn dẹp điện thoại có tên "Phone Cleaner - File Explorer" (tên gói "com.volabs.androidcleaner") và tận dụng một kỹ thuật gọi là lập phiên bản để giới thiệu nó.
Mặc dù ứng dụng không còn có sẵn để tải xuống từ cửa hàng chính thức dành cho Android nhưng bạn vẫn có thể tải xuống ứng dụng này thông qua các nguồn bên thứ ba sơ sài khác.
Theo số liệu thống kê có sẵn trên nền tảng thông minh ứng dụng AppBrain, ứng dụng này ước tính đã được tải xuống khoảng 12.000 lần trong thời gian có mặt trên Google Play Store từ ngày 13 tháng 11 đến ngày 27 tháng 11, khi nó chưa được xuất bản.
Các nhà nghiên cứu bảo mật cho biết: “Ban đầu, ứng dụng này có vẻ vô hại, không có mã độc và dịch vụ trợ năng của nó không tham gia vào bất kỳ hoạt động có hại nào”.
“Tuy nhiên, một tuần sau khi phát hành, một bản cập nhật đã giới thiệu mã độc. Bản cập nhật này đã thay đổi chức năng dịch vụ trợ năng, cho phép nó thực thi các hành động độc hại như tự động nhấp vào nút sau khi nhận được cấu hình từ máy chủ [lệnh và điều khiển]. "
Điều khiến ứng dụng nhỏ giọt đáng chú ý là việc lạm dụng dịch vụ trợ năng của nó được điều chỉnh cho phù hợp với các thiết bị của Samsung, cho thấy rằng nó được thiết kế để nhắm mục tiêu độc quyền vào các thiết bị cầm tay do công ty sản xuất tại một số thời điểm, mặc dù các ứng dụng nhỏ giọt khác được sử dụng trong chiến dịch được cho là không liên quan đến nhà sản xuất. .
Những ứng dụng nhỏ giọt cũng có khả năng phá vỡ các cài đặt bị hạn chế của Android 13 bằng cách bắt chước quy trình được các thị trường sử dụng để cài đặt ứng dụng mới mà không bị vô hiệu hóa quyền truy cập vào các chức năng của dịch vụ trợ năng, như đã thấy trước đây trong trường hợp các dịch vụ nhỏ giọt như SecuriDropper.
Hơn nữa, người ta đã quan sát thấy các ứng dụng nhỏ giọt sử dụng cách tiếp cận nhiều giai đoạn để tránh bị phát hiện, tải xuống động cấu hình và tải trọng APK từ máy chủ C2, cho phép các tác nhân đe dọa thay đổi các thành phần độc hại theo ý muốn.
"Tất cả các ứng dụng được xác định trong báo cáo đều đã bị xóa khỏi Google Play. Người dùng Android được Google Play Protect tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này. Tính năng này được bật theo mặc định trên các thiết bị Android có Dịch vụ của Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi nguy hiểm, ngay cả khi những ứng dụng đó đến từ các nguồn bên ngoài Google Play."
Dưới đây là danh sách đầy đủ các công cụ nhỏ giọt Anatsa đã bị xóa khỏi Cửa hàng Google Play –
Phone Cleaner - File Explorer (com.volabs.androidcleaner)
PDF Viewer - File Explorer (com.xolab.fileexplorer)
PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Điều đáng lưu ý là PDF Reader: File Manager có hơn 10.000 lượt cài đặt tại thời điểm được phát hiện vào tuần trước, nhưng đã tăng vọt lên 100.000 lượt cài đặt trước khi bị xóa vào ngày 19 tháng 2 năm 2024.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Các cuộc tấn công ransomware tiếp tục nh...
Các mối đe dọa an ninh mạng tại Việt Nam...
Nhóm tin tặc Lazarus khai thác lỗ hổng z...
Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...
Chiến dịch quảng cáo độc hại chiếm đoạt ...
Nghiên cứu mới tiết lộ lỗ hổng Spectre v...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Nhóm tin tặc Lazarus khai thác lỗ hổng zero-day tr...
- Hướng dẫn cài đặt và kích hoạt Kaspersky for Windo...
- Thông báo thời gian kì nghỉ công ty năm 2024
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Hướng dẫn cài đặt và kích hoạt Kaspersky for Windo...