Το Anubis Android Banker στοχεύει σχεδόν 400 Χρήστες οικονομικών εφαρμογών

Οι ερευνητές ασφαλείας διαπίστωσαν ότι ο τραπεζίτης Android Anubis είναι ξανά ενεργός και τώρα στοχεύει 394 χρήστες, συμπεριλαμβανομένων προϊόντων από χρηματοπιστωτικά ιδρύματα, πορτοφόλια κρυπτονομισμάτων και εικονικές πλατφόρμες πληρωμών. Την ίδια στιγμή, Επιφυλακή Οι ειδικοί γράφουν ότι η καμπάνια του νέου τραπεζίτη βρίσκεται ακόμη σε στάδιο δοκιμής και βελτιστοποίησης.

Anubis εντοπίστηκε για πρώτη φορά σε φόρουμ χάκερ στο 2016 όταν διανεμήθηκε ως τραπεζικό Trojan ανοιχτού κώδικα με λεπτομερείς οδηγίες για τον τρόπο υλοποίησης του πελάτη και διαφόρων στοιχείων.

Σε 2019, το κακόβουλο λογισμικό απέκτησε μια μονάδα ransomware και διείσδυσε σε αυτό Google Play Store, χρήση ψεύτικων εφαρμογών για ένεση. Σε 2020, ο Τρωικός εκτόξευσε α μεγάλης κλίμακας εκστρατεία phishing που απευθύνεται σε χρήστες του 250 εφαρμογές αγορών και τραπεζών.

Το κακόβουλο λογισμικό λειτουργεί με απλό τρόπο: συνήθως το Anubis εμφανίζει επικαλύψεις phishing πάνω από πραγματικά παράθυρα εφαρμογών και κλέβει τα διαπιστευτήρια που έχουν εισαχθεί από τον χρήστη.

Η νέα έκδοση του κακόβουλου λογισμικού, εντοπίστηκε από Επιφυλακή εμπειρογνώμονες, στόχους 394 εφαρμογές και έχει τις παρακάτω δυνατότητες:

1. καταγραφή της δραστηριότητας της οθόνης και του ήχου από μικρόφωνο;
2. υλοποίηση ενός διακομιστή μεσολάβησης SOCKS5 για κρυφή επικοινωνία και παράδοση πακέτων;
3. αποθήκευση στιγμιότυπων οθόνης;
4. μαζική διανομή μηνυμάτων SMS από τη συσκευή στους καθορισμένους παραλήπτες;
5. ανάκτηση επαφών που είναι αποθηκευμένες στη συσκευή;
6. αποστολή, ΑΝΑΓΝΩΣΗ, διαγραφή και αποκλεισμός ειδοποιήσεων για μηνύματα SMS που λαμβάνονται από τη συσκευή;
7. σάρωση της συσκευής σε αναζήτηση αρχείων που ενδιαφέρουν τους χάκερ για κλοπή;
8. κλειδώστε την οθόνη της συσκευής και εμφανίστε τη ζήτηση λύτρων;
9. αποστολή αιτημάτων USSD για να ενημερωθείτε για την κατάσταση των λογαριασμών;
10. συλλογή δεδομένων GPS και στατιστικών βηματόμετρου;
11. εφαρμογή ενός keylogger για την κλοπή διαπιστευτηρίων;
12. παρακολούθηση ενεργών εφαρμογών που εκτελούν επιθέσεις επικάλυψης;
13. τερματισμός άλλων κακόβουλων προγραμμάτων και αφαίρεση ανταγωνιστικού κακόβουλου λογισμικού από τη συσκευή.

Όπως και στις προηγούμενες εκδόσεις του Anubis, το κακόβουλο λογισμικό εντοπίζει εάν το Google Play Protected είναι ενεργοποιημένο στη συσκευή που επηρεάζεται, και στη συνέχεια στέλνει μια ψεύτικη προειδοποίηση συστήματος για να ξεγελάσει τον χρήστη ώστε να το απενεργοποιήσει. Αυτό δίνει στον Trojan πλήρη πρόσβαση στη συσκευή και την ελευθερία να στέλνει και να λαμβάνει δεδομένα από το C&Διακομιστής C χωρίς κανένα εμπόδιο.

Οι ειδικοί αναφέρουν ότι αυτή τη φορά οι επιτιθέμενοι προσπάθησαν να υποβάλουν το fr.orange.serviceapp πακέτο στο Google Play Store τον Ιούλιο 2021, αλλά στη συνέχεια η αίτησή τους απορρίφθηκε. Προφανώς, αυτό ήταν απλώς μια προσπάθεια δοκιμής των συστημάτων Google για προστασία από κακόβουλο λογισμικό, έκτοτε οι επιτιθέμενοι εφάρμοσαν μόνο εν μέρει το σχέδιο συσκότισης.

Μέχρι τώρα, τη διανομή της κακόβουλης εφαρμογής Orange Α.Ε, εξοπλισμένο με μια νέα έκδοση του Anubis, πραγματοποιείται μέσω τοποθεσιών τρίτων, αναρτήσεις στα κοινωνικά δίκτυα, στα φόρουμ, και ούτω καθεξής. Την ίδια στιγμή, η κακόβουλη καμπάνια στοχεύει όχι μόνο Γάλλους πελάτες της Orange Α.Ε, αλλά και Αμερικανοί χρήστες, συμπεριλαμβανομένων των πελατών του η τράπεζα της Αμερικής, Τράπεζα των ΗΠΑ, Πρωτεύουσα Ένα, Κυνηγητό, SunTrust και Wells Fargo.

Να θυμίσω ότι το είπαμε και αυτό SharkBot Το Android Trojan κλέβει κρυπτονομίσματα και χακάρει τραπεζικούς λογαριασμούς.