СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.07.2025
#Dev#ИБ

Массовая кампания банковского троянца Anatsa в Северной Америке

Массовая кампания банковского троянца Anatsa в Северной Америке

Источник: www.secureblink.com

Массовая кампания банковского троянца Anatsa (TeaBot) в Северной Америке: новая угроза для пользователей Android

Банковский троянец Anatsa, также известный как TeaBot, провел масштабную вредоносную кампанию, нацеленную на пользователей мобильных устройств в США и Канаде. Злоумышленники интегрировали вредоносный код в легитимно выглядящее приложение «Просмотр документов — считыватель файлов», которое было доступно в Google Play и за шесть недель успело набрать около 90 000 установок до удаления Google.

Как работает Anatsa: тактика и технические детали

Операторы Anatsa используют передовые методы для проникновения в популярные финансовые приложения Северной Америки и кражи учётных данных пользователей. Основные возможности троянца включают:

  • Перехват нажатий клавиш (keylogging) для сбора паролей и другой информации;
  • Имитацию страниц входа в банковские приложения с помощью наложений (overlays), которые выглядят как легитимные формы;
  • Перехват кодов двухфакторной аутентификации (2FA) на основе SMS с использованием предоставленных разрешений AccessibilityService;
  • Полный захват устройства (Device Take Over, DTO) для инициирования мошеннических банковских транзакций непосредственно через смартфон;
  • Отображение ложного сообщения «Плановое техническое обслуживание» при запуске банковских приложений, затрудняющего связь жертвы с поддержкой.

Особенностью кампании является использование обновлений, которые внедряют вредоносный код после публикации легитимного приложения. Dropper под названием com.stellarastra.maintainer.astracontrol_managerreadercleaner маскировался под обычный просмотрщик файлов, а после обновления 24 июня начал запрашивать повышенные разрешения для автоматизации взаимодействия с пользователем и загружать вредоносную полезную нагрузку в память.

Стратегия распространения и особенности маскировки

Ключевой особенностью операторов Anatsa является аккуратное управление распространением. Они периодически приостанавливают кампанию, оптимизируют код и организуют волны атаки, ориентированные на конкретные регионы. Такой подход помогает быстро восстановить популярность вредоносного ПО и сократить вероятность обнаружения и удаления.

Также злоумышленники создают надежные профили разработчиков в Google Play, выпуская изначально легальные утилиты — что позволяет:

  • Сформировать базу пользователей и повысить уровень доверия;
  • Опубликовать вредоносные обновления, незаметно внедряющие трояна.

Исследование, проведенное Zscaler, показало, что около 40% дропперов маскируются под утилиты категории Tools, что позволяет им запрашивать разрешения на хранение данных и AccessibilityService без подозрений со стороны пользователей и системы модерации.

Рост угрозы для финансового сектора США и Канады

В отличие от предыдущих кампаний, ориентированных на Европу, текущая активность Anatsa сосредоточена на финансовых учреждениях США и Канады. В список целей вошли:

  • Крупные розничные банки;
  • Кредитные союзы;
  • Инвестиционные приложения.

Эта экспансия сопровождается наращиванием возможностей троянца для обхода современных средств защиты, включая поведенческую аналитику, предназначенную для выявления мошеннических транзакций.

Проблемы защиты магазинов приложений и необходимость новых подходов

Операторы Anatsa успешно обходят политику Google, требующую обоснования для доступа к AccessibilityService. Они сначала выпускают «чистую» версию приложения, а затем внедряют вредоносные компоненты через обновления, используя уязвимости в проверках кода.

На фоне этого эксперты подчеркивают:

  • Критический разрыв между текущей защитой официальных app Store и адаптивной тактикой злоумышленников;
  • Необходимость комплексного анализа поведения приложений во время выполнения (runtime analysis) и детального сравнения обновлений;
  • Постоянную угрозу со стороны высокорисковых Trojan dropper’ов для пользователей и организаций.

До тех пор, пока платформы не смогут эффективно выявлять такие угрозы, пользователям Android рекомендуется проявлять бдительность, внимательно проверять разрешения и ограничивать установку приложений из недостоверных источников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: