悪名高いバンキングトロイの木馬Anatsaを使用する脅威アクターが、米国、英国およびDACH地域(ドイツ、オーストリア、スイス)の銀行を標的とする新たなキャンペーンを開始しました。
ThreatFabricによる新たなブログ投稿によると、この継続中のキャンペーンは2023年3月頃に始まり、これまでにマルウェアのインストール数は3万件を超えています。
セキュリティ専門家は、Anatsaの高度な機能、とりわけ金融機関が採用するさまざまな不正対策メカニズムを回避できるDevice-Takeover Fraud(DTO)機能を強調しました。
より基本的なレベルでは、このトロイの木馬の主目的は、モバイルバンキングアプリで使用される認証情報を窃取し、不正な取引を開始することです。
Anatsaは、Google Playストアに掲載されたドロッパーアプリを通じて配布されます。これらのドロッパーは、PDFリーダーなどの正規アプリを装ってユーザーを欺きます。ThreatFabricのアナリストは、ドロッパーが迅速にリリースされていることを確認しており、以前のものがストアから削除された直後に新しいものが出現しています。
ドロッパーについて詳しく読む: Lancefly APTのカスタムバックドアが政府および航空分野を標的に
感染すると、Anatsaはオーバーレイ攻撃とキーロギングによって機密情報を収集し、認証情報、クレジットカード情報、その他の決済関連データを侵害します。
Anatsaはこれまでにもさまざまな地域を標的にしてきましたが、このキャンペーンはDACH地域、とりわけドイツに特化した焦点を示しています。
さらにThreatFabricは、Anatsaの背後にいる脅威アクターが標的リストを更新し、世界中で約600の金融アプリケーションを含めたと述べました。
同社はまた、最新のAnatsaキャンペーンは、デジタル時代において銀行および金融機関が直面する脅威環境が進化していることを痛感させるものだと付け加えました。
「米国、DACH、英国地域を標的とした最近のGoogle Playストア配布キャンペーンは、モバイル不正の甚大な可能性と、そのような脅威に対抗するための積極的な対策の必要性を示しています」と、ブログ投稿には記されています。
このニュースについて、Googleの広報担当者は、特定されたこれらすべての悪意あるアプリはGoogle Playから削除され、開発者は追放されたと述べました。
「Google Play Protectは、Google Play Servicesを搭載したAndroid端末上で、このマルウェアを含むことが判明しているアプリを自動的に削除することで、ユーザーも保護しています。」
ThreatFabricの注意喚起の公開は、Cleafyのセキュリティ研究者が世界各地の複数の悪性キャンペーンで新たなAndroidバンキングトロイの木馬を発見してから数か月後のことです。
更新: 本記事は6月29日に更新され、Googleのコメントを追記しました。
翻訳元: https://www.infosecurity-magazine.com/news/anatsa-banking-trojan-targets-us/
