秘密裏のAndroidドロッパーが、単なるPDFリーダーに偽装して、再度Google Playストアに潜入しました。このアプリケーションは広告通りに機能しているように見え、初めは疑いを起こさず、ドキュメントをシームレスに開くことができました。しかし、インストール後にAnatosaバンキングトロイアンを展開する潜在的な機能を秘めていました。
4月21日、この改ざんされたユーティリティは、Google Playのロシアセグメントでもっともダウンロードされたツール185位に上昇しました。マーケットプレイスから最終的に削除される前に、このプログラムは10,000以上のダウンロード数を獲得していました。Kasperskyのレポートによると。
このアプリケーションはドロッパーを含んでいました。悪意のあるコードをひそかに配信するために設計された特殊なコンポーネントです。デバイスにインストールされると、 ソフトウェアはAnatosaペイロードを含む補足的なAPKファイルを取得しました。昇格したシステム権限を獲得すると、マルウェアは機密情報、特にバンキング認証情報を傍受しようと試みました。
Anatosaはサイバーセキュリティコミュニティ内で、継続的でよく記録された脅威です。このトロイアンは、正当なユーティリティに偽装して公式アプリケーションリポジトリに頻繁に再浮上します。攻撃者は通常、初期モデレーションをバイパスするために無害なバージョンを公開し、その後、後続のアップデートまたは外部の二次ダウンロードを通じて悪意のある機能を導入します。
ソフトウェア
KasperskyのスペシャリストであるDmitry Kalininは、公式マーケットプレイスからアプリケーションをインストールすることはリスクを軽減しますが、セキュリティを完全に保証するものではないと指摘しました。ユーザーは要求されたアクセス許可を注意深く確認し、更新に対して常に警戒を続け、スマートフォンの機密機能へのアクセスを要求する単純なドキュメントリーダーに極度の疑いを持つことが推奨されています。
Kasperskyはこの特定の脅威を、ヒューリスティック判定HEUR:Trojan-Downloader.AndroidOS.Anatsa.aおよびHEUR:Trojan-Dropper.AndroidOS.Banker.bbの下で特定しています。
