Новая кампания трояна Anatsa угрожает мобильному банкингу Северной Америки

Новая кампания трояна Anatsa угрожает мобильному банкингу Северной Америки

Источник: www.threatfabric.com

Новая волна атак Android-банковского трояна Anatsa в Северной Америке

Специалисты компании ThreatFabric выявили новую кампанию, связанной с деятельностью Android-банковского трояна Anatsa, который активно атакует пользователей мобильных банковских приложений в Соединённых Штатах и Канаде. Это, по меньшей мере, третья попытка запуска угроз для мобильного банкинга в регионе, что вызывает серьёзную обеспокоенность экспертов по кибербезопасности.

Распространение через Google Play — новый вызов для мобильной безопасности

Одной из повышенных опасностей, связанной с Anatsa, является способ её доставки — троян распространяется через официальный магазин приложений Google Play. Такой подход значительно усложняет защиту пользователей, ведь легитимные приложения, доступные для скачивания, кажутся безопасными на первый взгляд.

Механизм заражения строится следующим образом:

  • На старте злоумышленники публикуют безобидные приложения — например, для чтения PDF, файловые менеджеры или утилиты.
  • После привлечения значительного числа пользователей приложение обновляется, внедряя вредоносный код.
  • Этот код загружает и устанавливает троян Anatsa на устройство жертвы.

Далее вредоносное ПО связывается с командно-контрольным сервером (C2), что позволяет злоумышленникам в реальном времени изменять стратегию атак и подстраиваться под защитные меры.

Функциональные возможности трояна Anatsa

Anatsa относится к разряду сложных мобильных угроз с широким арсеналом:

  • Кража учётных данных через методы наложения (overlay attacks) и кейлоггинг.
  • Выполнение мошеннических транзакций непосредственно с заражённого устройства.
  • Дистанционное управление устройством жертвы с помощью команд с C2 сервера.

Как отмечают эксперты ThreatFabric, Anatsa с 2020 года зарекомендовал себя как один из самых заметных игроков в сегменте мобильных банковских троянов.

Особенности последней кампании и таргетинг на финансовый сектор Северной Америки

Недавние атаки Anatsa демонстрируют эволюцию тактики злоумышленников. В июне 202X года была зафиксирована операция, в рамках которой использовалось приложение-дроппер, замаскированное под «обновление PDF» для популярного ридера в Google Play. Это приложение было скачано более 50 000 раз до удаления из магазина.

Через шесть недель после запуска приложение преобразовалось в платформу для загрузки и установки Anatsa, что полностью соответствовало ранее известной схеме трояна. Кампания длилась с 24 по 30 июня и значительно расширила список целевых банковских приложений в США и Канаде.

Примечательная тактика: Anatsa использует вводящие в заблуждение наложения (fake overlay messages), которые всплывают у пользователей при попытке войти в свои банковские аккаунты. Эти сообщения скрывают действия трояна и препятствуют вовлечению службы поддержки, задерживая тем самым обнаружение и нейтрализацию угрозы.

Рекомендации для финансовых организаций и пользователей

Учитывая растущую активность Anatsa на североамериканском рынке, финансовым учреждениям рекомендуется:

  • Провести всесторонний аудит своих мобильных приложений и систем защиты.
  • Обновить политику безопасности с учётом современных методов атак, включая overlay attacks и кейлоггинг.
  • Повысить осведомлённость клиентов о возможных признаках компрометации и способах защиты.

Также пользователям мобильных банковских приложений следует с осторожностью относиться к обновлениям и приложениям из Google Play, особенно если они требуют необычные разрешения или не связаны с основным функционалом.

В условиях динамичного развития киберугроз компаниям и конечным пользователям необходимо сохранять бдительность и применять комплексный подход к обеспечению безопасности мобильных устройств.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: