Android Anatsa Malware infiltrerar Google Play för att rikta in sig på amerikanska banker

Den ökända banktrojanen Anatsa har återigen infiltrerat Google Play Store, denna gång förklädd till en till synes harmlös PDF-visningsapp. Med över 50 000 nedladdningar har den skadliga appen satt tusentals användare i riskzonen, främst med fokus på banker i Nordamerika.

Säkerhetsforskare från Threat Fabric, som upptäckte denna senaste kampanj, har följt Anatsa under flera år och rapporterade den skadliga aktiviteten till Google.

Hur Anatsa-malwaren fungerar

Den senaste kampanjen använde en app kallad ‘Document Viewer – File Reader’, publicerad av ‘Hybrid Cars Simulator, Drift & Racing’. Appen framstod initialt som säker och fungerande, vilket hjälpte den att samla många nedladdningar och positiva recensioner.

När appen byggt upp en betrodd användarbas skickade utvecklarna en uppdatering med skadlig kod som hämtade Anatsa-payloaden från en fjärrserver. Denna payload installerades tyst som en separat applikation på de infekterade enheterna.

Anatsa kopplar sedan upp sig mot en command-and-control (C2)-server och får en lista över målinriktade bankappar. Malwaren övervakar aktivt enheten efter dessa appar och startar en avancerad overlay när ett offer öppnar sin bankapp.

Vilseledande overlay och bedrägeritaktik

När användare öppnar en målinriktad bankapp visar Anatsa ett falskt meddelande om ”schemalagd bankunderhåll”. Denna bedrägliga overlay döljer den skadliga aktiviteten i bakgrunden och hindrar användare från att kontrollera sina konton eller kontakta banken.

Bakom kulisserna kan Anatsa:

• Logga tangenter: Fånga inloggningsuppgifter och känslig information.
• Automatisera transaktioner: Initiera bedrägliga banktransaktioner.
• Ta över konton: Få full kontroll över offrets bankapp-session.

Dessa handlingar kan leda till stora ekonomiska förluster för ovetande användare.

Anastas listiga taktik för framgång

Anastas operatörer är kända för sin tålamod och strategi:

• Lansera en harmlös app utan malware för att vinna förtroende.
• Samla nedladdningar och positiva recensioner.
• Skicka en uppdatering som introducerar skadligt beteende.

Denna taktik låter dem kringgå Googles säkerhetsåtgärder tillfälligt och sprida malware till många användare innan upptäckt och borttagning.

En ihållande risk för mobilbank

Threat Fabrics långsiktiga övervakning visar att Anatsa upprepade gånger använt falska produktivitets- och verktygsappar för att infiltrera Google Play. Trots förbättrad granskning hittar angripare fortfarande sätt att kringgå plattformens försvar.

Senaste infiltreringen understryker vikten av att:

• Noggrant övervaka appuppdateringar.
• Använda betrodda bankappar direkt istället för tredjepartsappar.
• Hålla enheter uppdaterade med senaste säkerhetspatcher.
• Undvika appar med oklar ursprung eller publicist.

Googles respons och framtida åtgärder

Google har tagit bort den skadliga appen efter Threat Fabrics rapport. En talesperson för Google bekräftade att företaget upprätthåller strikta Google Play-regler och tar bort appar som bryter mot dessa.

Anatsa-fallet visar dock på den pågående utmaningen med malware i appbutiker och vikten av kontinuerliga förbättringar av upptäckt och förebyggande åtgärder.

Slutsats

Anatsa-malwaren visar att även officiella appbutiker som Google Play inte är immuna mot sofistikerade hot. Med angripare som använder smarta tekniker för att kringgå säkerhetskontroller måste både användare och utvecklare vara vaksamma.

För användare är det viktigt att vara försiktig vid nedladdning av appar och att hålla utkik efter misstänkt beteende för att minska risken för infektion. För säkerhetsteam är det avgörande att hänga med i utvecklingen av malware-taktiker som Anatsa för att skydda mobilbank och användardata.