Google Play heeft de afgelopen tijd zijn beveiligingsmaatregelen versterkt om gebruikers te beschermen, maar een beruchte banken trojan genaamd Anatsa blijft zich verspreiden naar meer landen. Deze kwaadaardige tool is actief sinds minimaal maart 2023 en richt zich op bankklanten in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Oostenrijk en Zwitserland. Aan het einde van 2023 is er een nieuwe campagne gelanceerd die zich richt op klanten in de Tsjechische Republiek, Slowakije en Slovenië. Het is slechts een kwestie van tijd voordat cybersecurity-experts deze trojan in Polen detecteren.
Cybercriminelen stemmen hun campagnes bewust af op specifieke landen, waardoor ze aanvallen kunnen voorbereiden op een beperkt aantal financiële doelen. Ze doen dit door een klein aantal banken na te bootsen en snel een grote groep slachtoffers op te lichten.
Anatsa, ook bekend als TeaBot en Toddler, verspreidt zich onder de dekmantel van ogenschijnlijk onschuldige applicaties op Google Play. Cybercriminelen maken gebruik van verschillende technieken om het kwaadaardige component te verbergen voor de beveiligingsmaatregelen van Google, waaronder het toevoegen van de trojan nadat de app al op de store is gepubliceerd. Dit gedrag is ook waargenomen bij bedreigingen zoals SharkBot, Joker en recentelijk met de app “Phone Cleaner – File Explorer”, die in november 2023 uit Google Play is verwijderd. Deze specifieke app verspreidde de Anatsa-trojan en werd binnen twee weken 13.000 keer gedownload.
Gedurende de eerste week gedroeg de app zich normaal, om vervolgens een update uit te brengen met kwaadaardige code en de functionaliteit van functies die gebruik maken van toegankelijkheidsservices te veranderen. Plotseling werd het mogelijk om automatisch “klikken” van knoppen te activeren en commando’s van sturende servers te ontvangen.
Bij de recente golf van aanvallen hebben experts vijf apps op Google Play geïdentificeerd die de trojan op de smartphones van slachtoffers hebben geïnstalleerd, met een totaal van meer dan 100.000 installaties. Het lijkt erop dat de beveiligingsverbeteringen van Google nog verder moeten worden verfijnd. “Sommige van de apps die deze campagne verspreiden, maakten gebruik van toegankelijkheidsservices, ondanks de verbeterde detectie- en beschermingsmechanismen van Google Play”, zoals vermeld in het ThreatFabric-rapport. Alle apps die betrokken zijn bij de campagne die zich richt op de Tsjechische Republiek, Slowakije en Slovenië waren in staat om de beperkingen opgelegd aan toegankelijkheidsservices in Android 13 te omzeilen.
De Anatsa-trojan beschikt over functies waarmee volledige controle over geïnfecteerde apparaten kan worden verkregen en acties namens het slachtoffer kunnen worden uitgevoerd. Het kan ook inloggegevens stelen, waardoor criminelen transacties kunnen uitvoeren voor hun eigen voordeel.
Hoewel de apps die de trojan verspreiden niet langer beschikbaar zijn op Google Play, kunnen ze nog steeds worden gedownload van andere bronnen. Interessant is dat deze apps voornamelijk zijn ontworpen om Samsung-apparaten te targeten, zoals blijkt uit bepaalde functies.
Bron: Threat Fabric
Veelgestelde Vragen over de Anatsa Trojan
V: Wat is de Anatsa-trojan?
A: De Anatsa-trojan is een beruchte bankentrojan, ook bekend als TeaBot en Toddler. Het verspreidt zich via ogenschijnlijk onschuldige applicaties op Google Play.
V: Welke landen heeft de Anatsa-trojan aangevallen?
A: De Anatsa-trojan heeft zich gericht op bankklanten in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Oostenrijk, Zwitserland, de Tsjechische Republiek, Slowakije en Slovenië. Experts geloven dat het binnenkort ook in Polen zal worden gedetecteerd.
V: Hoe verspreiden cybercriminelen de Anatsa-trojan?
A: Cybercriminelen verspreiden de Anatsa-trojan door het te verbergen in ogenschijnlijk onschuldige applicaties op Google Play. Ze maken gebruik van technieken zoals versioning, waarbij de trojan wordt toegevoegd nadat de app al is gepubliceerd in de store.
V: Kan de Anatsa-trojan de beveiligingsmaatregelen van Google Play omzeilen?
A: Ja, de Anatsa-trojan is in staat geweest om de beveiligingsmaatregelen van Google Play te omzeilen. Het maakt gebruik van toegankelijkheidsservices en heeft manieren gevonden om de beperkingen op deze services in Android 13 te ontwijken.
V: Welke acties kan de Anatsa-trojan uitvoeren op geïnfecteerde apparaten?
A: De Anatsa-trojan kan volledige controle krijgen over geïnfecteerde apparaten en namens het slachtoffer acties uitvoeren. Het is ook in staat om inloggegevens te stelen, waardoor cybercriminelen ongeautoriseerde transacties kunnen uitvoeren.
V: Zijn de apps die de Anatsa-trojan verspreiden nog beschikbaar op Google Play?
A: Nee, de apps die de Anatsa-trojan verspreiden, zijn verwijderd uit Google Play. Ze kunnen echter nog steeds worden gedownload van andere bronnen.
Voor meer informatie kunt u de website van ThreatFabric bezoeken.
The source of the article is from the blog karacasanime.com.ve