Anubis Android Banker tähtää melkein 400 Taloussovelluksen käyttäjät

Tietoturvatutkijat ovat havainneet, että Android-pankkiiri Anubis on jälleen aktiivinen ja nyt kohdistuu 394 käyttäjiä, mukaan lukien rahoituslaitosten tuotteet, kryptovaluuttalompakot ja virtuaaliset maksualustat. Samaan aikaan, Varo Asiantuntijat kirjoittavat, että uuden pankkiirin kampanja on vielä testaus- ja optimointivaiheessa.

Anubis havaittiin ensimmäisen kerran hakkerifoorumeilla vuonna 2016 kun se jaettiin avoimen lähdekoodin pankkitroijalaisena, jossa oli yksityiskohtaiset ohjeet asiakkaan ja eri komponenttien käyttöönottoon.

Sisään 2019, haittaohjelma hankki lunnasohjelmamoduulin ja soluttautui Google Pelikauppa, käyttämällä väärennettyjä injektiosovelluksia. Sisään 2020, troijalainen käynnisti a laajamittainen tietojenkalastelukampanja suunnattu käyttäjille 250 ostos- ja pankkisovellukset.

Haittaohjelma toimii yksinkertaisella tavalla: yleensä Anubis näyttää phishing-peittokuvia oikeiden sovellusikkunoiden päällä ja varastaa käyttäjän syöttämät tunnistetiedot.

Haittaohjelman uusi versio, havaitsi Varo asiantuntijat, tavoitteita 394 sovelluksia ja siinä on seuraavat ominaisuudet:

1. näytön toiminnan ja äänen tallennus mikrofonista;
2. SOCKS5-välityspalvelimen toteuttaminen peitettyä viestintää ja pakettien toimitusta varten;
3. kuvakaappausten tallentaminen;
4. SMS-viestien massajakelu laitteesta määritetyille vastaanottajille;
5. laitteeseen tallennettujen yhteystietojen hakeminen;
6. lähettäminen, lukeminen, laitteen vastaanottamien tekstiviestien ilmoitusten poistaminen ja estäminen;
7. laitteen skannaus etsiessään hakkereita kiinnostavia tiedostoja varkauden varalta;
8. lukitse laitteen näytön ja näytä lunnaita koskeva vaatimus;
9. USSD-pyyntöjen lähettäminen tilien tilan selvittämiseksi;
10. GPS-tietojen ja askelmittarin tilastojen kerääminen;
11. Keyloggerin käyttöönotto valtuustietojen varastamiseksi;
12. aktiivisten sovellusten valvonta, jotka suorittavat peittokuvahyökkäyksiä;
13. muiden haittaohjelmien lopettaminen ja kilpailevien haittaohjelmien poistaminen laitteesta.

Kuten aiemmissa Anubis-versioissa, haittaohjelma havaitsee, onko Google Play Protected käytössä kyseisessä laitteessa, ja lähettää sitten väärennetyn järjestelmävaroituksen huijatakseen käyttäjän sammuttamaan sen. Tämä antaa troijalaiselle täyden pääsyn laitteeseen ja vapauden lähettää ja vastaanottaa tietoja C&C-palvelin ilman esteitä.

Asiantuntijat raportoivat, että tällä kertaa hyökkääjät yrittivät toimittaa fr.orange.serviceapp paketti Google Play Kauppaan heinäkuussa 2021, mutta sitten heidän hakemuksensa hylättiin. Ilmeisesti, tämä oli vain yritys testata Googlen järjestelmiä suojatakseen haittaohjelmia, siitä lähtien hyökkääjät ovat toteuttaneet vain osittain hämärtymissuunnitelmansa.

Niin kaukana, haitallisen sovelluksen levittäminen Orange SA, varustettu uudella Anubis-versiolla, tapahtuu kolmannen osapuolen sivustojen kautta, viestejä sosiaalisissa verkostoissa, foorumeilla, ja niin edelleen. Samaan aikaan, haitallinen kampanja ei kohdistu vain Orange SA:n ranskalaisiin asiakkaisiin, mutta myös amerikkalaisia ​​käyttäjiä, mukaan lukien asiakkaat Amerikan pankki, Yhdysvaltain pankki, Capital One, ajojahti, SunTrust ja Wells Fargo.

Muistutan, että me myös kerroimme sen SharkBot Android Troijalainen varastaa kryptovaluuttoja ja hakkeroi pankkitilejä.