TeAbot olarak da bilinen Anatsa Bankacılık Truva atı, dünya çapında finansal kurumları hedefleyen en sofistike Android kötü amaçlı yazılım tehditlerinden biri olarak gelişmeye devam ediyor.
İlk olarak 2020’de keşfedilen bu kötü niyetli yazılım, Android cihazlarına sızan resmi Google Play Store aracılığıyla, kullanıcı kimlik bilgilerini çalmak ve tuş vuruşlarını izlemek için meşru belge okuma uygulamaları olarak maskelenen olağanüstü bir kalıcılık göstermiştir.
Kötü amaçlı yazılım, görünüşte iyi huylu uygulamaları Google’ın resmi pazarı aracılığıyla standart dosya yöneticileri veya belge okuyucuları olarak görünen sofistike bir damlalık tekniği kullanır.
.webp)
Kurulduktan sonra, bu tuzak uygulamaları, komut ve kontrol sunucularından rutin yazılım güncellemeleri olarak gizlenen kötü niyetli yükleri sessizce indirerek Google Play Store Güvenlik mekanizmalarını etkili bir şekilde atlar.
En son kampanyalar, Anatsa’nın çok sayıda kripto para platformunun yanı sıra Almanya ve Güney Kore gibi yeni eklenen bölgeler de dahil olmak üzere birden fazla kıtada 831’den fazla finans kurumunu hedeflemek için erişimini önemli ölçüde genişletti.
Zscaler analistleri, bu kötü amaçlı tuzak uygulamalarının çoğunun bireysel olarak 50.000 indirmeyi aştığını ve çeşitli kötü amaçlı yazılım ailelerinden 77 kötü amaçlı uygulamanın toplu olarak 19 milyondan fazla kurulum sağladığı daha geniş bir ekosisteme katkıda bulunduğunu belirledi.
Araştırmacılar, ANATSA’nın uzak Dalvik yürütülebilir dosyalarının dinamik kod yüklemesini, temel kötü amaçlı yükün doğrudan kurulumu ile değiştirerek yük yükü dağıtım mekanizmasını kolaylaştırdığını belirtti.
Gelişmiş Kaçma ve Kalıcılık Mekanizmaları
Mevcut ANATSA varyantı, tespit kaçma yeteneklerini önemli ölçüde artıran sofistike anti-analiz tekniklerini uygular.
.webp)
Kötü amaçlı yazılım artık veri şifreleme standart çalışma zamanı şifre çözme, yürütme sırasında her bir dizeyi şifresini çözmek için dinamik olarak oluşturarak, statik analizi güvenlik araştırmacıları için önemli ölçüde daha zor hale getiriyor.
Kötü amaçlı yazılım, çalışma zamanı sırasında dağıtılan DEX dosyalarını gizlemek için geçersiz sıkıştırma ve şifreleme bayrakları ile bozuk zip arşivleri kullanır. Bu teknik, Android cihazlarla uyumluluğu korurken analiz araçları tarafından kullanılan standart ZIP başlık doğrulamasındaki zayıflıklardan yararlanır.
Başarılı bir şekilde yüklendikten sonra, ANATSA erişilebilirlik izinleri ister ve System_alert_Window, Read_sms ve use_full_screen_intent dahil kritik sistem ayrıcalıklarını otomatik olarak etkinleştirir.
Komut ve kontrol sunucuları ile iletişim, tek bayt XOR şifreleme anahtarı (ondalık değer 66) kullanılarak şifrelenmiş kanallar aracılığıyla gerçekleşir ve kötü amaçlı yazılım, yedeklilik ve kalıcılık için 185.15.108:85 ve 193.24.123.18:85 dahil olmak üzere birden fazla C2 alanına bağlantıları korur.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.