Android Anatsa Malware infiltrerer Google Play for at ramme amerikanske banker

Den berygtede Anatsa banktrojan har igen infiltreret Google Play Store, denne gang forklædt som en tilsyneladende harmløs PDF-viewer-app. Med over 50.000 downloads har den ondsindede app sat tusindvis af brugere i fare, primært med fokus på banker i Nordamerika.

Sikkerhedsforskere fra Threat Fabric, som opdagede denne seneste kampagne, har fulgt Anatsa i flere år og rapporterede den ondsindede aktivitet til Google.

Sådan virker Anatsa-malwaren

Den seneste Anatsa-kampagne brugte en app kaldet ‘Document Viewer – File Reader’ udgivet af ‘Hybrid Cars Simulator, Drift & Racing’. Appen fremstod først som sikker og funktionel, hvilket hjalp den med at opbygge et betydeligt antal downloads og positive anmeldelser.

Når appen havde opbygget en tillidsfuld brugerbase, udsendte udviklerne en opdatering med ondsindet kode, som hentede Anatsa-payload fra en fjernserver. Denne payload blev stille installeret som en separat applikation på de inficerede enheder.

Anatsa forbinder derefter til en kommando-og-kontrol (C2) server og modtager en liste over målrettede bankapps. Malware overvåger aktivt enheden for disse apps og starter en avanceret overlay, når et offer åbner sin bankapp.

Bedragerisk overlay og svindeltaktikker

Når brugere åbner en målrettet bankapp, viser Anatsa en falsk besked om “planlagt vedligeholdelse af banksystemet.” Dette bedrageriske overlay skjuler den ondsindede aktivitet, der kører i baggrunden, og forhindrer brugere i at tjekke deres konti eller kontakte banken.

Bag kulisserne kan Anatsa:

• Keylogging: Indsamle loginoplysninger og følsomme data.
• Automatiserede transaktioner: Iværksætte svigagtige banktransaktioner.
• Konto-adgang: Tage fuld kontrol over offerets bankapps session.

Disse handlinger kan resultere i betydelige økonomiske tab for intetanende brugere.

De snedige taktikker bag Anatsa-malwarens succes

Anatsa-operatørerne er kendt for deres tålmodige og strategiske tilgang:

• Lancere en harmløs app uden malware for at opbygge tillid.
• Akkumulere downloads og positive anmeldelser.
• Udsende en opdatering, der introducerer ondsindet adfærd.

Denne taktik gør det muligt for dem midlertidigt at undgå Googles sikkerhedsforanstaltninger og sprede malware til et stort antal brugere, før den bliver opdaget og fjernet.

Vedvarende trussel mod mobilbank

Threat Fabrics langsigtede overvågning viser, at Anatsa gentagne gange har brugt falske produktivitets- og værktøjsapps til at infiltrere Google Play. På trods af bestræbelser på at forbedre app-godkendelser, finder angriberne stadig måder at omgå platformens forsvar.

Den seneste infiltration understreger vigtigheden af:

• At overvåge app-opdateringer nøje.
• At bruge betroede bankapps direkte frem for tredjeparts værktøjer.
• At holde enheder opdaterede med de nyeste sikkerhedsrettelser.
• At undgå apps med uklare oprindelser eller udgivere.

Googles respons og fremtidige foranstaltninger

Google har fjernet den ondsindede app efter at have modtaget rapporten fra Threat Fabric. En talsmand fra Google bekræftede, at virksomheden håndhæver strenge Google Play-politikker og fjerner apps, der overtræder reglerne.

Anatsa-sagen fremhæver dog den vedvarende udfordring med malwareinfiltration i app-butikker og understreger behovet for kontinuerlig forbedring af detektions- og forebyggelsesmetoder.

Konklusion

Anatsa-malwaren viser, at selv officielle app-butikker som Google Play ikke er immune over for sofistikerede trusler. Med angribere, der udnytter snedige teknikker til at omgå sikkerhedskontroller, skal både brugere og udviklere forblive årvågne.

For brugere kan forsigtighed ved download af apps og overvågning af mistænkelig adfærd hjælpe med at mindske infektionsrisikoen. For sikkerhedsteams er det afgørende at følge med i udviklingen af malware-taktikker som Anatsa for at beskytte mobilbank og brugerdata.