Anubis Android Banker se dirige casi a 400 Usuarios de aplicaciones financieras

Los investigadores de seguridad han descubierto que el banquero de Android Anubis está activo de nuevo y ahora apunta 394 usuarios, incluyendo productos de instituciones financieras, carteras de criptomonedas y plataformas de pago virtual. Al mismo tiempo, Estar atento Los expertos escriben que la campaña del nuevo banquero aún se encuentra en la etapa de prueba y optimización..

Anubis fue visto por primera vez en foros de piratas informáticos en 2016 cuando se distribuyó como un troyano bancario de código abierto con instrucciones detalladas sobre cómo implementar el cliente y varios componentes.

En 2019, el malware adquirió un módulo de ransomware y se infiltró en el Google Tienda de juegos, usando aplicaciones falsas para inyección. En 2020, el troyano lanzó un campaña de phishing a gran escala dirigido a usuarios de 250 aplicaciones de compras y banca.

El malware funciona de forma sencilla: Por lo general, Anubis muestra superposiciones de phishing en la parte superior de las ventanas de la aplicación real y roba las credenciales ingresadas por el usuario..

La nueva versión de malware, visto por Estar atento expertos, objetivos 394 aplicaciones y tiene las siguientes características:

  1. grabación de la actividad de la pantalla y el sonido de un micrófono;
  2. implementación de un servidor proxy SOCKS5 para comunicación encubierta y entrega de paquetes;
  3. guardar capturas de pantalla;
  4. distribución masiva de mensajes SMS desde el dispositivo a los destinatarios especificados;
  5. recuperación de contactos almacenados en el dispositivo;
  6. enviando, leyendo, eliminar y bloquear notificaciones de mensajes SMS recibidos por el dispositivo;
  7. escanear el dispositivo en busca de archivos de interés para los piratas informáticos por robo;
  8. bloquear la pantalla del dispositivo y mostrar la demanda de rescate;
  9. enviar solicitudes de USSD para conocer el estado de las cuentas;
  10. recopilación de datos GPS y estadísticas del podómetro;
  11. implementación de un keylogger para robar credenciales;
  12. monitoreo de aplicaciones activas que realizan ataques de superposición;
  13. terminación de otros programas maliciosos y eliminación del malware de la competencia del dispositivo.

Como en versiones anteriores de Anubis, el malware detecta si Google Play Protected está habilitado en el dispositivo afectado, y luego envía una advertencia falsa del sistema para engañar al usuario para que lo apague. Esto le da al troyano acceso completo al dispositivo y la libertad de enviar y recibir datos desde C&Servidor C sin ningún obstáculo.

Google Play Protect

Los expertos informan que esta vez los atacantes intentaron presentar el fr.orange.serviceapp paquete a Google Play Store en julio 2021, pero luego su solicitud fue rechazada. Aparentemente, esto fue solo un intento de probar los sistemas de Google para la protección contra el malware, Desde entonces, los atacantes solo implementaron parcialmente su esquema de ofuscación..

Hasta aquí, la distribución de la aplicación maliciosa Orange SA, equipado con una nueva versión de Anubis, ocurre a través de sitios de terceros, publicaciones en redes sociales, en foros, y así. Al mismo tiempo, la campaña maliciosa se dirige no solo a los clientes franceses de Orange SA, pero también usuarios estadounidenses, incluyendo clientes de Banco de America, Banco de EE. UU., Capital uno, perseguir, SunTrust y Wells Fargo.

Teniendo en cuenta que el código de Anubis se ha distribuido durante mucho tiempo en numerosos foros de piratas informáticos, es utilizado por muchos piratas informáticos, y ahora es extremadamente difícil entender quién está detrás de la nueva versión del troyano. Adicionalmente, los atacantes intentan ocultar sus pistas y usan Cloudflare para redirigir todo el tráfico de red a través de SSL, mientras que la C&El servidor C se enmascara como un intercambiador de criptomonedas utilizando el dominio https://quickbitrade[.]Con.

Déjame recordarte que también dijimos que SharkBot Troyano Android roba criptomonedas y piratea cuentas bancarias.

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba