Anubis Android Banker téměř cílí 400 Uživatelé finančních aplikací

Bezpečnostní výzkumníci zjistili, že Android bankéř Anubis je opět aktivní a nyní cílí 394 uživatelů, včetně produktů finančních institucí, kryptoměnové peněženky a virtuální platební platformy. Ve stejnou dobu, Pozor odborníci píší, že kampaň nového bankéře je stále ve fázi testování a optimalizace.

Anubis byl poprvé spatřen na hackerských fórech v 2016 kdy byl distribuován jako open source bankovní trojan s podrobným návodem, jak implementovat klienta a různé komponenty.

v 2019, malware získal modul ransomwaru a infiltroval jej Google Obchod Play, pomocí falešných aplikací pro injekci. v 2020, Trojan spustil a rozsáhlá phishingová kampaň zaměřené na uživatele 250 nákupní a bankovní aplikace.

Malware funguje jednoduchým způsobem: Anubis obvykle zobrazuje phishingové překryvy nad skutečnými okny aplikací a krade uživatelem zadané přihlašovací údaje.

Nová verze malwaru, spatřen Pozor experti, cíle 394 aplikace a má následující funkce:

1. záznam aktivity obrazovky a zvuku z mikrofonu;
2. implementace proxy serveru SOCKS5 pro skrytou komunikaci a doručování paketů;
3. ukládání snímků obrazovky;
4. hromadné rozesílání SMS-zpráv ze zařízení určeným příjemcům;
5. načítání kontaktů uložených v zařízení;
6. odesílání, čtení, mazání a blokování upozornění na SMS zprávy přijaté zařízením;
7. skenování zařízení při hledání souborů, které zajímají hackery kvůli krádeži;
8. uzamknout obrazovku zařízení a zobrazit požadavek na výkupné;
9. odesílání požadavků USSD, aby se dozvěděli o stavu účtů;
10. sběr dat GPS a statistiky krokoměru;
11. implementace keyloggeru ke krádeži přihlašovacích údajů;
12. monitorování aktivních aplikací provádějících overlay útoky;
13. ukončení jiných škodlivých programů a odstranění konkurenčního malwaru ze zařízení.

Stejně jako v předchozích verzích Anubis, malware zjistí, zda je na postiženém zařízení povolena ochrana Google Play Protected, a poté odešle falešné systémové varování, aby přiměl uživatele k vypnutí. To dává trojskému koni plný přístup k zařízení a svobodu odesílat a přijímat data z C&C server bez jakýchkoliv překážek.

Experti uvádějí, že tentokrát se útočníci pokusili předložit fr.orange.serviceapp v červenci do obchodu Google Play 2021, ale pak byla jejich žádost zamítnuta. Zřejmě, toto byl jen pokus otestovat systémy Google na ochranu proti malwaru, od té doby útočníci pouze částečně implementovali své zatemňovací schéma.

Zatím, distribuci škodlivé aplikace Orange SA, vybavena novou verzí Anubis, dochází prostřednictvím stránek třetích stran, příspěvky na sociálních sítích, na fórech, a tak dále. Ve stejnou dobu, zlomyslná kampaň cílí nejen na francouzské zákazníky Orange SA, ale také američtí uživatelé, včetně zákazníků americká banka, Americká banka, Capital One, Honit, SunTrust a Wells Fargo.

Dovolte mi připomenout, že jsme to také řekli SharkBot Android Trojan krade kryptoměny a hackuje bankovní účty.