Tehdit Fabrik Araştırmacılar, Anatsa Bankacılık Truva atı tarafından özellikle Amerika Birleşik Devletleri ve Kanada’daki mobil bankacılık müşterilerini hedefleyen ve kötü amaçlı yazılımların Kuzey Amerika finans kurumlarına karşı üçüncü büyük saldırısını işaretleyen sofistike bir kampanya belirlediler.
En son kampanya, tehdit manzarasında önemli bir artışı temsil ediyor ve siber suçlular, yasal uygulamalar olarak gizlenmiş kötü niyetli yüklerini dağıtmak için resmi Google Play Store’a başarılı bir şekilde sızıyor.
Güvenlik araştırmacıları, kötü amaçlı yazılımların algılama ve kaldırılmadan önce zaten 50.000’den fazla indirme yaptığını bildiriyor.
Sofistike cihaz devralma özellikleri
Teabot olarak da bilinen Anatsa, 2020’den beri siber güvenlik uzmanları tarafından aktif olarak izlenen son derece sofistike bir bankacılık Truva atıdır.
Kötü amaçlı yazılım, cihaz devralma saldırılarında uzmanlaşmış, siber suçluların bindirme saldırıları, günlük tuş vuruşları yoluyla bankacılık kimlik bilgilerini çalmasını ve doğrudan enfekte cihazlardan hileli işlemler yürütmesini sağlar.
TehditFabrik araştırmacılar, Anatsa’nın arkasındaki grubu “mobil Crumaware manzarasındaki en üretken operatörlerden biri” olarak sınıflandırıyor ve birden fazla kampanyada sürekli yüksek başarı oranlarına dikkat çekiyor. Anatsa kampanyası, tespitten kaçınmak için tasarlanmış hesaplanmış çok aşamalı bir yaklaşımı izler.
Tehdit aktörleri önce Google Play’de meşru geliştirici profilleri oluşturur ve PDF okuyucuları, telefon temizleyicileri veya dosya yöneticileri gibi görünüşte iyi huylu uygulamalar yükler.
Bu uygulamalar normal olarak haftalar veya aylar boyunca çalışır, kötü amaçlı güncellemeler konuşlandırılmadan önce önemli kullanıcı tabanları oluşturur. En son Kuzey Amerika kampanyası bu stratejiyi örneklendiriyor.
Kötü niyetli bir PDF okuyucu uygulaması, ilk sürümünden yaklaşık altı hafta sonra silahlanmadan önce ABD Google Play Store’daki “En İyi Ücretsiz Araçlar” kategorisinde ilk üçe tırmandı.
Güvenlik analizi, ANATSA’nın bankacılık uygulamalarını hedefleyen özellikle aldatıcı kaplama saldırıları kullandığını ortaya koymaktadır.
Mağdurlar mobil bankacılık uygulamalarına erişmeye çalıştıklarında, kötü amaçlı yazılım “Programlı Bakım: Şu anda hizmetlerimizi geliştiriyoruz ve kısa süre içinde her şeyi geri alıp çalıştıracağız. Sabrınız için teşekkür ederiz.
Bu taktik ikili amaçlara hizmet eder: kullanıcıların meşru müşteri desteğiyle iletişim kurmasını engellerken kötü niyetli etkinlik gizleme, böylece hileli operasyonların tespitini geciktirir.
Hedef listesi ve coğrafi erişimin genişletilmesi
Mevcut kampanya, Anatsa’nın genişleyen hırslarını göstermektedir ve araştırmacılar daha geniş bir ABD mobil bankacılık uygulamalarını kapsayan daha geniş bir hedef listesi kaydediyor.
Kötü amaçlı yazılım artık JP Morgan, Capital One, TD Bank ve Schwab dahil olmak üzere büyük Kuzey Amerika bankalarına odaklanarak dünya çapında 650’den fazla finans kurumunu hedefleyebilir.
24-30 Haziran tarihleri arasında kısa ama etkili dağıtım penceresi, operatörlerin güvenlik karşı önlemlerine maruz kalmayı en aza indirirken hasarı en üst düzeye çıkarma yeteneğini vurgulamaktadır.
Siber güvenlik uzmanları, finansal kurumları, müşterileri resmi uygulama mağazaları da dahil olmak üzere herhangi bir kaynaktan indirme riskleri konusunda derhal uyarmaya çağırıyor.
Kuruluşlara olağandışı müşteri hesabı etkinliği için gelişmiş izleme uygulamaları ve kullanıcıları gereksiz uygulamalara erişilebilirlik hizmeti izinleri vermenin tehlikeleri konusunda eğitmeleri tavsiye edilir.
Anatsa kampanyası, mobil bankacılık müşterilerinin karşılaştığı gelişen tehdit manzarasının altını çizerek, resmi uygulama mağazalarının bile finansal varlıkları hedefleyen gelişmiş kötü amaçlı yazılım faaliyetlerine karşı tam korumayı garanti edemeyeceğini gösteriyor.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi