Kaip pranešė „BleepingComputer“, ši nauja mobiliųjų kenkėjiškų programų kampanija buvo aktyvi nuo šių metų kovo ir iki šiol „Anatsa“ taikėsi į bankų klientus JAV, JK, Vokietijoje, Austrijoje ir Šveicarijoje.
Kaip ir per ankstesnę „Anatsa“ kampaniją 2021 m. lapkričio mėn., kai kenkėjiška programa buvo atsisiųsta daugiau nei 300 000 kartų, šios naujos kampanijos įsilaužėliai naudoja „Google Play“ parduotuvėje esančias kenkėjiškas programas, kad užkrėstų pažeidžiamus „Android“ išmaniuosius telefonus.
Šią atnaujintą „Anatsa“ bankininkystės Trojos arklio versiją pirmą kartą pastebėjo „ThreatFabric“ saugumo tyrinėtojai, kurie naujame pranešime atskleidė, kad dabar ji gali perimti beveik 600 skirtingų bankininkystės programėlių ir vykdyti sukčiavimą tiesiogiai užkrėstame įrenginyje.
„Anatsa“ gali nusitaikyti į daugelį didelių bankų, įskaitant „JP Morgan“, „Capital One“, „TD Bank“, „Schwab“, „Navy Federal Credit Union“ ir kitus, todėl šis bankinis Trojos arklys yra grėsmė, į kurią „Android“ vartotojai turėtų žiūrėti rimtai.
Ištrinkite šias programėles kuo greičiau
Savo pranešime „ThreatFabric“ saugos tyrinėtojai pabrėžė penkias programėles, kurias naudoja šios kampanijos įsilaužėliai, norėdami perimti ir ištuštinti banko sąskaitas. Jei „Android“ išmaniajame telefone įdiegta kuri nors iš šių programėlių, rekomenduojama jas nedelsiant pašalinti. Žemiau rasite atitinkamas programas ir jų paketų pavadinimus:
- PDF Reader - Edit & View PDF -lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools
- PDF Reader & Editor - com.proderstarler.pdfsignature
- PDF Reader & Editor - moh.filemanagerrespdf
- All Document Reader & Editor - com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs
- All Document Reader and Viewer - com.muchlensoka.pdfcreator
Nors nuo to laiko visos šios programėlės buvo pašalintos iš „Play“ parduotuvės, turėsite jas ištrinti rankiniu būdu, jei kurią nors iš jų turite savo išmaniajame telefone.
Žaidžiamos gaudynės
Dar kovo mėnesį, po šešių mėnesių pertraukos, kibernetiniai nusikaltėliai, atsakingi už šią naują „Anatsa“ kampaniją, pradėjo atskirą kenkėjiškos reklamos kampaniją, skirtą reklamuoti programėles, naudojamas šiam bankiniam Trojos arkliui įdiegti.
Kaip ir ankstesnėse „Anatsa“ kampanijose, ši naudoja kenkėjiškas programas iš biuro / produktyvumo kategorijos, kurios yra PDF redaktoriai, peržiūros priemonės ir biuro rinkiniai. Tačiau kai šios programos pirmą kartą buvo pateiktos „Google“, jose nebuvo jokios kenkėjiškos programos. Vietoj to, kenkėjiška programa buvo pridėta vėliau, kaip ir „AhRat“ kenkėjiška programa, kuri leido jas įtraukti į „Play“ parduotuvę ir praeiti paieškos milžino saugumo patikras.
Tirdami šį klausimą, „ThreatFabric“ tyrėjai pranešė „Google“ apie kiekvieną aptiktą kenkėjišką programą, o bendrovė jas pašalino iš „Play“ parduotuvės. Tačiau įsilaužėliai tada įkelia naują programėlę, kad toliau platintų „Anatsa“ bankininkystės trojos arklį.
Įdiegta viename geriausių telefonų, „Anatsa“ renka daugybę finansinės informacijos, įskaitant banko sąskaitos prisijungimo duomenis, kredito kortelės duomenis, mokėjimo informaciją ir dar daugiau. Tai atliekama naudojant perdangas (overlays), kurios atsiranda ant vienos iš 600 tikslinių banko programėlių, kai jos paleidžiamos.
Užuot pavogusi šią neskelbtiną informaciją ir išsaugojusi ją vėlesniam naudojimui, „Anatsa“ naudoja ją sukčiavimui įrenginyje, paleisdama vieną iš banko programėlių ir vykdydama operacijas aukų vardu. Tai sutaupo įsilaužėlių, dalyvaujančių šioje kampanijoje, laiką, tačiau taip pat padidina jų sėkmės galimybes, nes vartotojas, prisijungęs prie savo banko programėlės ir atliekantis operacijas savo išmaniuoju telefonu, nekelia jokių įtarimų.
Tada visos iš aukos banko sąskaitos pavogtos lėšos konvertuojamos į kriptovaliutą ir perduodamos pinigų mulų tinklui, o tada grąžinamos atgal šios kampanijos įsilaužėliams.
Pareiškime „Tom's Guide“ žurnalistams, „Google“ atstovas spaudai pateikė daugiau įžvalgų apie šią naują „Anatsa“ kampaniją ir tai, kaip paieškos milžinas su ja elgiasi, sakydamas:
„Visos šios aptiktos kenkėjiškos programos buvo pašalintos iš „Google Play“, o kūrėjai buvo užblokuoti. „Google Play Protect“ taip pat apsaugo vartotojus automatiškai pašalindama programėles, kuriose yra šios kenkėjiškos programos, „Android“ įrenginiuose su „Google Play“ paslaugomis.“