ThreatLabzのセキュリティ研究者は、公式Google Playストア内に隠れた欺瞞的な脅威を発見しました。標準的なファイル管理ユーティリティに見えるように設計された偽造ドキュメントリーダーアプリケーションが、危険なAnatsaアンドロイドバンキングトロイの木馬を秘密裏に配信していることが判明しました。
Googleがプラットフォームからアプリケーションを削除する前に、すでに1万ダウンロードを超えており、数千人のユーザーが金銭詐欺とデータ盗難の大きなリスクにさらされていました。
以前Google Play Storeでcom.groundstation.informationcontrol.filestation_browsefiles_readocsというパッケージ名で利用可能だった悪意のあるアプリケーションは、ドキュメントの閲覧と読み取りのための無害なツールのふりをしていました。
脅威アクターは、Google Play Protectの初期セキュリティスキャンをすり抜けるために、「ドロッパー」技法として知られるこの戦術をよく使用します。悪意のあるコードを初期アプリケーションダウンロードの外に保つことで、レビュープロセス中にアプリは安全に見えます。
無防備なユーザーが偽造ドキュメントリーダーをダウンロードして開くと、アプリはバックグラウンドで攻撃の第2段階を開始しました。
外部サーバーに接続して実際のマルウェアペイロードをダウンロードし、危険なファイルをシンプルなテキストドキュメントに偽装してネットワーク上で疑いを避けました。
Anatsaバンキングトロイの木馬は、金融情報を盗み銀行口座を空にするために特別に設計された高度なアンドロイドマルウェアです。
偽造ドキュメントリーダーがAnatsaペイロードをインストールすると、マルウェアは直ちに被害者のデバイスの高度な権限を獲得しようとします。
これはアンドロイドのアクセシビリティサービスを頻繁に悪用し、マルウェアは画面上に表示されている内容を読み取り、キーストロークをキャプチャし、ユーザーの知識なしにデバイスと相互作用することができます。
完全に活動化すると、Anatsaは標的となった銀行・金融アプリケーションのデバイスを監視します。ユーザーが正当な銀行アプリを開くと、トロイの木馬は見えないオーバーレイ攻撃を開始します。
つまり、実在するアプリケーションの上に直接偽造ログイン画面を表示し、ユーザーのユーザー名、パスワード、多要素認証コードを攻撃者の手に入れるようにだまします。
Anatsaは被害者の信頼されたデバイス上で直接動作するため、銀行の伝統的な詐欺検出システムをしばしば回避することができます。
攻撃者は、侵害されたフォンから直接許可されていない送金を開始でき、トランザクションがアカウント所有者によって認可されたように見えるようにします。
このアプリケーションをダウンロードしたユーザーは、アプリを直ちに削除し、金融アカウントを監視して不審な活動に注意を払い、デバイスのパスワードをリセットすることを検討することをお勧めします。
サイバーセキュリティチームとIT管理者は、潜在的な感染を検出し、ネットワーク内の悪意のあるトラフィックをブロックするために、ThreatLabzが提供する以下の技術的インジケーターを使用して検出するべきです:
翻訳元: https://cyberpress.org/anatsa-trojan-hits-android/