Anatsa Androidバンキングトロイの木馬は標的リストを拡大し、現在830以上の金融アプリケーションを狙っていると、サイバーセキュリティ企業Zscalerが警告しています。
2020年から活動しているAnatsaは、感染したデバイスを乗っ取り、被害者になりすまして不正な取引やさまざまな操作を実行することができます。
昨年、このトロイの木馬は600以上の金融アプリケーションを標的にしていることが確認され、いくつかのヨーロッパ諸国にも拡大していました。
現在は、ドイツや韓国のモバイルユーザーも標的にしており、150以上の新たな銀行・暗号通貨アプリケーションを狙っているとZscalerが報告しています。
このマルウェアは、公式のGoogle Playストアで入手可能な偽装アプリケーションを通じて配布されており、中には5万回以上ダウンロードされたものもあります。
インストール後、偽装アプリケーションはトロイの木馬のコマンド&コントロール(C&C)サーバーに接続し、アップデートを装った悪意あるペイロードを密かに取得します。
これらのアプリケーションには複数の解析回避・検知回避技術が組み込まれており、動的に生成されたData Encryption Standard(DES)キーを使って実行時に文字列を復号したり、エミュレーションやデバイスモデルのチェックを行ったり、パッケージ名やインストールハッシュを定期的に変更したりします。
デバイス上で動作を開始すると、Anatsaはアクセシビリティ権限を要求し、マニフェストファイル内のすべての権限を自動的に有効化します。これにより、アプリケーションの上にオーバーレイを表示したり、通知を改ざんしたり、SMSメッセージを受信・閲覧したりすることが可能になります。
広告。スクロールして続きをお読みください。
このマルウェアはC&Cサーバーからコマンドを受信でき、偽のバンキングログインページを表示して認証情報を盗みます。標的となっている一部アプリケーションのページは、現在まだ未完成であるとZscalerは述べています。
同社によると、Anatsaや他のマルウェアファミリーを配布していた悪意あるアプリ77件を特定し、Googleに報告したとのことです。これらのアプリは合計で1,900万回以上ダウンロードされていました。大半はアドウェア(66.4%)、次いでJokerマルウェア(24.7%)を配布していました。
「Anatsaは解析回避技術を進化・強化し続けており、検知をより巧妙に回避しています。[…] Androidユーザーは常にアプリが要求する権限を確認し、その権限がアプリ本来の機能と合致しているかを確認すべきです」とZscalerは指摘しています。
関連記事: Godfather Androidトロイの木馬、感染デバイス上にサンドボックスを作成
関連記事: 「Crocodilus」Androidバンキングトロイの木馬、デバイス乗っ取りとデータ窃取を可能に
翻訳元: https://www.securityweek.com/anatsa-android-banking-trojan-now-targeting-830-financial-institutions/