Anatsaバンキングトロイの木馬は、Google Playにホストされたマルウェアドロッパーを通じてAndroidデバイスを感染させ、ヨーロッパのユーザーを標的にしています。
過去4ヶ月間に、セキュリティ研究者はイギリス、ドイツ、スペイン、スロバキア、スロベニア、チェコ共和国のユーザーにマルウェアを配信するために特別に設計された5つのキャンペーンを確認しました。
詐欺検出会社ThreatFabricの研究者は、11月以降Anatsaの活動が増加していることに気づき、少なくとも15万件の感染がありました。
各攻撃波は特定の地理的地域に焦点を当て、Google Playの「トップ新着無料」カテゴリーに到達するように設計されたドロッパーアプリを使用しています。これにより、アプリの信頼性が高まり、成功率が向上します。
ThreatFabricの報告書によると、ドロッパーアプリは現在、マルチステージの感染プロセスを実装し、Android 13までのモバイルオペレーティングシステムのバージョンに存在するセキュリティ対策を回避するために、Androidのアクセシビリティサービスの悪用を進化させています。
昨夏、ThreatFabricはGoogle Playにホストされたドロッパーアプリ、主に偽のPDFビューアアプリを使用した別のヨーロッパを対象としたAnatsaキャンペーンについて警告しました。
最新のAnatsaキャンペーンでは、マルウェアオペレーターはPDFと偽のクリーナーアプリの両方を使用しています。これらのアプリは、不要なファイルを削除してデバイスの空き容量を増やすことを約束しています。
ThreatFabricの研究者が注目したアプリの一例は、「Phone Cleaner – File Explorer」で、1万回以上ダウンロードされました。
ThreatFabricはBleepingComputerに対し、Anatsaキャンペーンが「PDF Reader: File Manager」という別のアプリも使用したことを明らかにしました。このアプリは10万回以上ダウンロードされました。
執筆時点で、Googleは公式AndroidストアからPDFリーダーを除くすべてのAnatsaドロッパーアプリを削除しましたが、PDFリーダーは引き続き利用可能です。
ThreatFabricの研究者は、Google PlayでのAnatsaドロッパーのダウンロード数が15万回であるというのは保守的な数字であり、実際の数字は20万回に近いと述べています。
Anatsaが新しい攻撃波を使用して新しいドロッパーアプリを定期的に起動しているため、ダウンロードの総数はさらに増加すると予想されます。すでに、2023年上半期にAnatsaが達成した13万回を超えています。