Ovih pet aplikacija su preuzete više stotina hiljada puta, a sadržale bankarski trojanac „Anatsa“

 

Anatsa je bankarski trojanac koji je primjećen na Google Play-u od istraživača iz kompanije ThreatFabric. Oni su rekli koje su aplikacije u pitanju a koje su preuze više od 150.000 Android korisnika.

Najviše su ciljani korisnici u Velikoj Britaniji, Češkoj, Nemačkoj, Slovačkoj, Sloveniji i Španiji. U početku su mete bili samo Samsung korisnici, ali kasnije i ostali.

Tokom protekla četiri mjeseca istraživači su primijetili čak pet kampanja za isporuku ovog malvera.

Lažne aplikacije su bile maskirane kao da čitaju PDF-ove ili čiste telefon, a dizajnirane su tako da dođu do kategorije „Top New Free“ na Google Play gdje su novi besplatni programi, što bi im povećalo šanse da dođu do još korisnika.

 

Višestepeni procesa infekcije

 

Ove dropper aplikacije dio su višestepenog procesa infekcije – da bi se izbjeglo otkrivanje, tek posle instalacije aplikacije preuzima se zlonamjerni kod sa servera za komandu i kontolu (C2) i to u četiri koraka.

Aplikacije zloupotrebljavaju funkciju Androida Accessibility Service da bi zaobišle bezbjednosne mjere koje se primenjuju od verzije Android 13.

Strategija napadača da zloupotrijebe Accessibility Service nije nova. Ova funkcija koja je dizajnirana da pomogne korisnicima sa invaliditetom je često zloupotrebljavana za automatizaciju instalacije malvera bez interakcije korisnika.

Dozvola koju navedene aplikacije traže za Accessibility Service opravdana je potrebom da se „hiberniraju aplikacije koje troše bateriju“, što se pojavljuje kao legitimna funkcija u kontekstu aplikacija koje „čiste“ uređaj.

Aplikacije koje su inficirale Android uređaje malverom Anatsa su:

  • Phone Cleaner – File Explorer,
  • PDF Viewer – File Explorer,
  • PDF Reader – Viewer & Editor,
  • Phone Cleaner: File Explorer,
  • PDF Reader: File Manager.

Procjena istraživača je da je broj od 150.000 preuzimanja vjerovatno i veći, i da bi cifra mogla biti bliža 200.000. S obzirom da oni koji stoje iza ovog malvera konstantno pokreću nove talase napada, istraživači upozoravaju da će se broj preuzimanja aplikacija koje isporučuju ovaj malver i dalje povećavati.

S obzirom da je Anatsa bankarski Android trojanac, njegovo prisustvo na uređaju znači da biste mogli biti pokradeni.

Prilikom instaliranja novih aplikacija, uvijek provjerite zahtjevane dozvole i odbijte one koje nisu opravdane svrhom aplikacije.

Sve aplikacije koje su pomenute u izveštaju ThreatFabrica sada su uklonjene sa Google Play.