Anubis Android Banker cible presque 400 Utilisateurs de l'application financière
Des chercheurs en sécurité ont découvert que le banquier Android Anubis est à nouveau actif et cible désormais 394 utilisateurs, y compris les produits des institutions financières, portefeuilles de crypto-monnaie et plateformes de paiement virtuel. En même temps, Chercher les experts écrivent que la nouvelle campagne du banquier est toujours au stade de test et d'optimisation.
Anubis a été repéré pour la première fois sur des forums de hackers en 2016 quand il a été distribué en tant que cheval de Troie bancaire open source avec des instructions détaillées sur la façon d'implémenter le client et divers composants.
Dans 2019, le malware a acquis un module de ransomware et s'est infiltré dans le Google Jouer au magasin, utiliser de fausses applications pour l'injection. Dans 2020, le cheval de Troie a lancé un campagne de phishing à grande échelle destiné aux utilisateurs de 250 applications commerciales et bancaires.
Le malware fonctionne de manière simple: généralement, Anubis affiche des superpositions de phishing au-dessus des fenêtres d'application réelles et vole les informations d'identification saisies par l'utilisateur.
La nouvelle version du malware, repéré par Chercher experts, cibles 394 applications et a les caractéristiques suivantes:
- enregistrement de l'activité de l'écran et du son d'un microphone;
- mise en œuvre d'un serveur proxy SOCKS5 pour la communication secrète et la livraison de paquets;
- enregistrer des captures d'écran;
- distribution en masse de messages SMS de l'appareil aux destinataires spécifiés;
- récupération des contacts stockés sur l'appareil;
- Envoi en cours, en train de lire, suppression et blocage des notifications pour les messages SMS reçus par l'appareil;
- scanner l'appareil à la recherche de fichiers d'intérêt pour les pirates informatiques pour vol;
- verrouiller l'écran de l'appareil et afficher la demande de rançon;
- envoyer des demandes USSD pour connaître l'état des comptes;
- collecte de données GPS et statistiques de podomètre;
- implémentation d'un keylogger pour voler les identifiants;
- surveillance des applications actives effectuant des attaques par superposition;
- suppression d'autres programmes malveillants et suppression des logiciels malveillants concurrents de l'appareil.
Comme dans les versions précédentes d'Anubis, le malware détecte si Google Play Protected est activé sur l'appareil concerné, puis envoie un faux avertissement système pour inciter l'utilisateur à l'éteindre. Cela donne au cheval de Troie un accès complet à l'appareil et la liberté d'envoyer et de recevoir des données du C&Serveur C sans aucune entrave.
Les experts rapportent que cette fois, les attaquants ont tenté de soumettre le fr.orange.serviceapp package sur le Google Play Store en juillet 2021, mais ensuite leur demande a été rejetée. Apparemment, c'était juste une tentative de tester les systèmes de Google pour la protection contre les logiciels malveillants, depuis lors, les attaquants n'ont mis en œuvre que partiellement leur plan d'obscurcissement.
Jusque là, la distribution de l'application malveillante Orange SA, équipé d'une nouvelle version d'Anubis, se produit via des sites tiers, publications sur les réseaux sociaux, sur les forums, etc. En même temps, la campagne malveillante ne cible pas seulement les clients français d'Orange SA, mais aussi des utilisateurs américains, y compris les clients de Banque d'Amérique, Banque américaine, Un majuscule, chasser, SunTrust et Wells Fargo.
Permettez-moi de vous rappeler que nous avons également dit que RequinBot Le cheval de Troie Android vole la crypto-monnaie et pirate les comptes bancaires.