Anubis Android Banker målretter næsten 400 Finansielle app-brugere

Sikkerhedsforskere har fundet ud af, at Android-bankmanden Anubis er aktiv igen og nu er målrettet 394 brugere, herunder produkter fra finansielle institutioner, cryptocurrency tegnebøger og virtuelle betalingsplatforme. På samme tid, Pas på eksperter skriver, at den nye bankmands kampagne stadig er i test- og optimeringsstadiet.

Anubis blev først set på hackerfora i 2016 da den blev distribueret som en open source banktrojaner med detaljerede instruktioner om, hvordan man implementerer klienten og forskellige komponenter.

I 2019, malwaren anskaffede et ransomware-modul og infiltrerede Google Legetøjsbutik, ved at bruge falske applikationer til injektion. I 2020, trojaneren lancerede en storstilet phishing-kampagne rettet mod brugere af 250 shopping- og bankapps.

Malwaren virker på en enkel måde: normalt viser Anubis phishing-overlejringer oven på rigtige programvinduer og stjæler brugerindtastede legitimationsoplysninger.

Den nye version af malware, spottet af Pas på eksperter, mål 394 applikationer og har følgende funktioner:

1. optagelse af skærmaktivitet og lyd fra en mikrofon;
2. implementering af en SOCKS5 proxyserver til skjult kommunikation og pakkelevering;
3. gemmer skærmbilleder;
4. massedistribution af SMS-beskeder fra enheden til de angivne modtagere;
5. hentning af kontakter gemt på enheden;
6. afsendelse, læsning, sletning og blokering af meddelelser for SMS-beskeder modtaget af enheden;
7. scanning af enheden i søgen efter filer af interesse for hackere for tyveri;
8. lås enhedens skærm og vis kravet om løsesum;
9. sende USSD-anmodninger for at finde ud af status for konti;
10. indsamling af GPS-data og skridttællerstatistik;
11. implementering af en keylogger til at stjæle legitimationsoplysninger;
12. overvågning af aktive applikationer, der udfører overlejringsangreb;
13. afbrydelse af andre ondsindede programmer og fjernelse af konkurrerende malware fra enheden.

Som i tidligere versioner af Anubis, malwaren registrerer, om Google Play Protected er aktiveret på den berørte enhed, og sender derefter en falsk systemadvarsel for at narre brugeren til at slukke for det. Dette giver trojaneren fuld adgang til enheden og friheden til at sende og modtage data fra C&C server uden nogen hindring.

Eksperter rapporterer, at denne gang forsøgte angriberne at indsende fr.orange.serviceapp pakke til Google Play Butik i juli 2021, men så blev deres ansøgning afvist. Tilsyneladende, dette var blot et forsøg på at teste Google-systemer for beskyttelse mod malware, siden da implementerede angriberne kun delvist deres sløringsordning.

Indtil nu, distributionen af ​​den ondsindede applikation Orange SA, udstyret med en ny version af Anubis, sker via tredjepartswebsteder, opslag på sociale netværk, på fora, og så videre. På samme tid, den ondsindede kampagne retter sig ikke kun mod franske kunder hos Orange SA, men også amerikanske brugere, herunder kunder af Bank of america, amerikansk bank, Hovedstaden, Jage, SunTrust og Wells Fargo.

Lad mig minde dig om, at vi også fortalte det SharkBot Android Trojan stjæler kryptovaluta og hacker bankkonti.