Devam eden yeni bir kampanya, Anatsa olarak bilinen Android bankacılık Truva Atı’nı yayıyor. Amerika Birleşik Devletleri, Birleşik Krallık ve Almanca konuşulan ülkelerdeki yeni kurumlar, bu Anatsa kötü amaçlı yazılım dalgasından etkilendi.
Tehdit aktörleri, müşterileri mobil bankacılık uygulamalarında yetkilendirerek kimlik bilgilerini çalmayı ve ardından hileli işlemlere başlamak için Cihaz Ele Geçirme Dolandırıcılığı (DTO) gerçekleştirmeyi amaçlıyor.
.png
)
ThreatFabric’te suç faaliyetlerini izleyen araştırmacılar, saldırganların kötü amaçlı yazılımı Android için resmi uygulama mağazası olan Play Store aracılığıyla dağıttığını ve şimdiden 30.000’den fazla kez yüklendiğini iddia ediyor.
Araştırmacılar, “Devam eden kampanyanın odak noktası ABD, İngiltere ve DACH’den bankalarken, kötü amaçlı yazılımın hedef listesi dünyanın her yerinden yaklaşık 600 finansal uygulama içeriyor” dedi.
Anatsa’nın faaliyetleri, 2020’de kurulduğundan beri ThreatFabric tarafından gözlemleniyor. Yıllar geçtikçe, oyuncunun ilgi alanları çeşitli değişikliklere uğradı ve hedef listeleri sık sık güncellendi.
Son zamanlarda, bu kampanyanın DACH bölgesindeki Almanca konuşan bankacılık kurumlarını hedef alma yönünde bariz bir kaymaya sahip olduğu gözlemlendi. Dağıtım damlalıklarının bırakıldığı alanlar bu odağı yansıtır.
Raporlar, yeni damlalığın piyasaya sürülmesiyle Anatsa’nın yer paylaşımlı hedef listesine 3 ek Alman bankacılık uygulamasının eklendiğini belirtiyor. Aynı şekilde, geçen yılın Ağustos 2022’sine kıyasla 90’ın üzerinde yeni hedeflenen uygulama vardı.
Anatsa oyuncuları Güney Kore, Almanya, İspanya, Finlandiya ve Singapur’dan hedefler ekledi. Damlalıklar bu ülkelerin hepsine yayılmamış olsa bile, o bölgelerin hedefler arasında olduğu açıktır.
Truva atı, Kasım 2021’de Google Play’de önceki bir Anatsa kampanyası sırasında PDF tarayıcılar, QR kodu tarayıcılar, Adobe Illustrator uygulamaları ve fitness takipçisi uygulamaları olarak görünerek 300.000’den fazla kez yüklendi.
Yeni Kötü Amaçlı Reklam Operasyonu
Tehdit aktörleri, kötü amaçlı yazılım yaymaya altı aylık bir aradan sonra Mart 2023’te yeni bir kötü amaçlı reklam operasyonu başlatarak potansiyel kurbanları Google Play’den Anatsa dropper uygulamalarını indirmeye teşvik etti.
Kötü amaçlı uygulamalar hâlâ “ofis/üretkenlik” kategorisine giriyor ve kendilerini ofis paketleri, PDF görüntüleyiciler ve düzenleme uygulamaları olarak gizliyor.
Google, kötü amaçlı uygulama hakkında raporlar alıp uygulamayı mağazadan kaldırdığında, saldırganlar farklı bir bahaneyle yeni bir damlalık yükleyerek hemen yeniden ortaya çıktı.
Ortaya çıkan kötü amaçlı yazılım bırakıcıların beş vakasındaki uygulamalar, belki de Google’ın titiz kod inceleme prosedürünü aşmak için kötü amaçlı kodla güncellenmeden önce başlangıçta temiz biçimde Google Play’e gönderildi.
Araştırmacılar, “Cihaza virüs bulaştığında Anatsa, yer paylaşımlı saldırılar ve keylogging yoluyla hassas bilgileri (kimlik bilgileri, kredi kartı bilgileri, bakiye ve ödeme bilgileri) toplayabilir” dedi.
İşlemler, hedeflenen müşterilerin sıklıkla kullandığı cihazdan başlatıldığı için, bankaların dolandırıcılıkla mücadele sistemlerinin bunu tespit etmesinin özellikle zor olduğu gözlemlendi.
Son olarak, son raporlara göre Google Play, geliştiricileri kaldırdı ve keşfedilen tüm tehlikeli uygulamaları sildi.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.