Zscaler tehdit ekibi, 2020’den beri aktif olan bir Android bankacılık Truva atı olan TeAbot olarak da bilinen Anatsa kötü amaçlı yazılımında önemli gelişmeler ortaya koydu.
Başlangıçta kimlik hırsızlığı, anahtarlama ve hileli işlemlerin kolaylaştırılması için tasarlanan Anatsa, şimdi dünya çapında 831’den fazla finansal kurumu hedefleyen daha sofistike bir tehdide dönüştü.
Bu genişleme, kripto para platformlarının yanı sıra Almanya ve Güney Kore gibi yeni bölgeleri içeriyor ve öncelikle Avrupa, ABD ve İngiltere’de önceki 650 hedef kapsamından önemli bir artış gösteriyor.
Kalıcı bir bankacılık truva atının evrimi
Anatsa’nın arkasındaki tehdit aktörleri, Google Play Store aracılığıyla dağıtılan belge okuyucuları veya dosya yöneticileri gibi iyi huylu araçlar olarak gizlenmiş yem uygulamaları kullanır.
Bu damlalıklar kurulum sırasında meşru görünür, ancak komut ve kontrol (C2) sunucularından gizlice kötü niyetli yükler getirir ve Google’ın algılama mekanizmalarından kaçınmak için güncellemeler olarak maskelenir.
Daha önceki varyantlardan kayda değer bir değişimde, en son ANATSA, uzak Dalvik Yürütülebilir (DEX) dosyalarının doğrudan kurulum, verimliliği artırma ve gizlilik lehine dinamik kod yüklemesini terk ederek yük dağıtımını kolaylaştırır.
Ayrıca, dinamik olarak oluşturulan anahtarlarla veri şifreleme standardı (DES) kullanarak çalışma zamanı şifresini içerir, bu da statik analize dirençli ipleri oluşturur.
Dinamik analiz ortamlarını engellemek için cihaza özgü kısıtlamalar ve emülasyon kontrolleri de uygulanır ve kötü amaçlı yazılımın yalnızca gerçek, hedeflenen cihazlarda etkinleştirilmesini sağlar.
Kontroller başarısız olursa, uygulama cephesini koruyarak zararsız bir dosya yöneticisi arayüzüne geri döner.
Geliştirilmiş Kırılma Taktikleri
Teknik makyajına daha derinlemesine giren Anatsa, artık Java Zip başlık doğrulamalarına bağlı standart statik analiz araçlarını karıştıran geçersiz sıkıştırma ve şifreleme bayraklarına sahip bozuk bir APK fermuar arşivi de dahil olmak üzere anti-analiz geliştirmelere sahiptir.
Bu malformasyona rağmen, APK standart Android cihazlarda sorunsuz bir şekilde yürütülür. Yükleme sonrası dinamik olarak bırakılan ve silinen bir JSON dosyasında gizlenen çekirdek yük, güncellenmiş bir KeyLogger varyantı içerir.
Kurulum üzerine, anatsa, verilirse, System_alert_Window, Read_sms, Peting_sms ve use_full_screen_intent gibi otomatik etkinleştirilebilir kritik bildirim izinleri için erişilebilirlik izinleri ister.
C2 sunucuları ile iletişim, basit bir tek bayt XOR tuşu (Decimal 66) aracılığıyla şifrelenir, yapılandırma verilerini JSON formatında alan listeleri, enjekler ve anahtarlogerlar için sürüm ayrıntıları ve komut setleri içeren aktarılır.
Kötü amaçlı yazılım, C2 sunucularından indirilen tespit edilen bankacılık uygulamalarına göre tasarlanmış sahte oturum açma sayfalarını kaplayarak kimlik bilgilerini ortaya çıkarır.
Analiz, ANATSA anahtarlama için 831 uygulamayı hedef alırken, birçok enjeksiyon sayfasının Robinhood uygulaması için yer tutucu bakım mesajı gibi eksik veya geliştirilmede kaldığını ortaya koymaktadır.
Paket adları ve kurulum karmaları, enfekte olmuş sistemlerde desen tabanlı algılamayı önlemek için sıklıkla döndürülür. Birçok tuzak uygulaması, tehdidin erişimini artırarak 50.000 indirmeyi ayrı ayrı aştı.
Anatsa’nın ötesinde, Tehditlabz, farklı ailelerden Google’a 77 kötü amaçlı uygulama bildirdi ve toplu olarak 19 milyondan fazla kurulum topladı.
Eğilimler, Joker, Harly ve Anatsa gibi Truva atlarının yanında ad yazılımında bir artış olduğunu gösterirken, Facestealer ve Coper gibi aileler düşüyor.
Ortak tuzak kategorileri, kötü amaçlı yazılım dağıtımı için sömürülen üretkenlik araçları, dosya yöneticileri ve eğlence uygulamalarını içerir.
Anatsa’nın anti-analizi iyileştirmeleri ve genişletilmiş hedefleme, Android kullanıcılarına artan risklerin altını çizerek uyanık izin incelemelerine ihtiyaç duyulmasını ve uygulama işlevselliğine uyum sağlıyor.
Uzlaşma Göstergesi (IOCS)
| Paket adı | MD5 | Komut ve Kontrol (C2) |
|---|---|---|
| com.synexa.fileops.fileged_organizerviewer | 5F85261CF55ED10E73C9B68128092E70 | Hxxps[://]Saurkanot[.]com/politika[.]HTML Hxxps[://]Saurkanot[.]com/gizlilik[.]HTML |
| com.trend.bid | 9b6e5703b0dc0ce8a98281d0821642 | HXXP[://]185[.]215[.]113[.]108: 85/api/ HXXP[://]193[.]24[.]123[.]18: 85/API/ HXXP[://]162[.]252[.]173[.]37: 85/API/ |
| com.applicationsResearchGroup.docxploremAgerviewer | A4973B21E7726A88ASA1B5AF70CC0A | Hxxps[://]Docsresearchgroup[.]com/ |
| com.mvivhzsmq.gqrzqsubj | ED8EA4DC43DA437F81BEF8D5DC688BDB | HXXP[://]37[.]235[.]54[.]59/ HXXP[://]91[.]215[.]85[.]55:85 HXXP[://]185[.]215[.]113[.]108: 85 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!