Възраждането на банковия троянец Anatsa предизвика опасения сред експертите по киберсигурност, тъй като е насочен към европейски финансови институции, създавайки значителна заплаха за сигурността на мобилното банкиране. През последните четири месеца кампанията Anatsa показа динамична еволюция с пет различни вълни, насочени към конкретни региони, включително Словакия, Словения и Чехия, в допълнение към предишни цели като Обединеното кралство, Германия и Испания.
Последната версия на кампанията Anatsa, открита от ThreatFabric, демонстрира сложен начин на действие. Той използва множество тактики за проникване в мобилни устройства и извършване на злонамерени дейности. Въпреки подобрените механизми за откриване и защита в Google Play, Anatsa успешно използва AccessibilityService.
Един забележителен аспект от неотдавнашната кампания на Anatsa е използването на специфичен за производителя код, насочен към устройства на Samsung. Този персонализиран подход предполага стратегическа адаптация от участниците в заплахата, за да се увеличи максимално въздействието на техния зловреден софтуер. Въпреки че кампанията пряко засегна потребителите на Samsung в тази фаза, заплахата от подобни тактики, насочени към други производители на устройства, остава тревожна.
Освен това кампанията Anatsa на практика заобиколи ограниченията, наложени от Android 13, позволявайки на хакерите да инсталират активен софтуер, като избягват откриването му. Тази техника, съчетана с динамично заредени DEX файлове, подобрява стелт възможностите на злонамерения софтуер. Това създава предизвикателства за програмите за сигурност и увеличава риска от успешни инфекции.
Потенциалът за това овладяване на устройство от злонамерена програма представлява сериозна заплаха, като всяка инсталация увеличава риска от измамна дейност и неоторизиран достъп до чувствителна информация.
Сайтът Beeping Computer отбеляза пет приложения, които са свързани с кампанията Anatsa. Те включват Phone Cleaner – File Explorer (com.volabs.androidcleaner), PDF Viewer – File Explorer (com.xolab.fileexplorer), PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer), Phone Cleaner: File Explorer (com. appiclouds.phonecleaner) и PDF четец: файлов мениджър (com.tragisoap.fileandpdfmanager).
Говорител на Google информира BeepingComputer, че Google Play е премахнал всичките пет приложения, свързани с тази кампания. Той добави, че Google Play Protect вече защитава устройства с Android срещу известни версии на този зловреден софтуер. Това е включено по подразбиране на устройства с Android с услуги на Google Play.
Снимка: Unsplash