サイバーセキュリティ研究者は、Anatsaと呼ばれるトロイの木馬を利用し、Googleの公式アプリマーケットに公開された悪意のあるアプリを通じて北米のユーザーを標的としたAndroidバンキングマルウェアキャンペーンを発見しました。
このマルウェアは、ドキュメントビューアアプリの「PDFアップデート」と偽装されており、ユーザーがバンキングアプリにアクセスしようとすると、サービスが定期メンテナンスのため一時的に停止していると偽る詐欺的なオーバーレイを表示することが確認されています。
「これは、Anatsaが米国およびカナダのモバイルバンキング顧客を標的にした少なくとも3回目の事例です」と、オランダのモバイルセキュリティ企業ThreatFabricは報告書でThe Hacker Newsに伝えています。「以前のキャンペーンと同様に、Anatsaは公式のGoogle Playストアを通じて配布されています。」
Anatsaは、TeaBotやToddlerとも呼ばれ、少なくとも2020年から活動が確認されており、通常はドロッパーアプリを介して被害者に配布されます。
昨年初め、Anatsaはスロバキア、スロベニア、チェコのAndroidデバイスユーザーを標的にしていることが判明しました。最初はPDFリーダーやスマホクリーナーを装った無害なアプリをPlayストアに公開し、リリースから1週間後に悪意のあるコードを追加する手法が取られていました。
他のAndroidバンキングトロイの木馬と同様に、Anatsaはオーバーレイやキーロギング攻撃を通じて認証情報を盗み出したり、デバイス乗っ取り詐欺(DTO)を実行して被害者のデバイスから不正な取引を開始する機能を持っています。
ThreatFabricによると、Anatsaのキャンペーンは予測可能でありながらも巧妙なプロセスに従っており、まずアプリストアで開発者プロファイルを作成し、宣伝通りに動作する正規のアプリを公開します。
「アプリが数千から数万回のダウンロードを達成し、十分なユーザーベースを獲得した後、アップデートが配信され、アプリに悪意のあるコードが埋め込まれます」と同社は述べています。「この埋め込まれたコードが、Anatsaを別のアプリケーションとしてデバイスにダウンロード・インストールします。」
その後、マルウェアは外部サーバーから標的となる金融機関や銀行の動的リストを受信し、攻撃者はアカウント乗っ取りのための認証情報窃取、キーロギング、DTOによる完全自動取引などを実行できるようになります。
Anatsaが検知を回避し、高い成功率を維持できる重要な要因は、攻撃と無活動期間を繰り返す周期的な性質にあります。
今回新たに発見された北米向けのアプリは、ドキュメントビューア(APKパッケージ名: “com.stellarastra.maintainer.astracontrol_managerreadercleaner”)を装い、「Hybrid Cars Simulator, Drift & Racing」という開発者によって公開されていました。アプリと開発者アカウントは現在、Playストアから削除されています。
Sensor Towerの統計によると、アプリは2025年5月7日に初めて公開され、2025年6月29日には「トップ無料 – ツール」カテゴリで4位に到達しました。ダウンロード数は約9万回と推定されています。
「このドロッパーはAnatsaの確立された手口に従いました。最初は正規アプリとして公開され、リリースから約6週間後に悪意のあるアプリへと変貌しました」とThreatFabricは述べています。「このキャンペーンの配布期間は短かったものの、6月24日から30日までの間に大きな影響を与えました。」
同社によると、今回のAnatsa亜種は米国内のより多くのバンキングアプリを標的にするよう設定されており、金融機関を狙うマルウェアの関心が高まっていることを示しています。
さらに巧妙な機能として、標的のバンキングアプリにアクセスしようとした際に偽のメンテナンス通知を表示する能力があります。この手法は、アプリ内で発生している悪意のある活動を隠すだけでなく、顧客が銀行のサポートチームに連絡するのを妨げ、金融詐欺の発覚を遅らせる効果もあります。
「最新の作戦は、その範囲を広げただけでなく、地域の金融機関を狙った確立された戦術にも依存していました」とThreatFabricは述べています。「金融業界の組織は、提供されたインテリジェンスを確認し、自社の顧客やシステムへの潜在的なリスクや影響を評価することが推奨されます。」
翻訳元: https://thehackernews.com/2025/07/anatsa-android-banking-trojan-hits.html