Anubis Android Banker célpontok majdnem 400 Pénzügyi alkalmazás felhasználói

Biztonsági kutatók megállapították, hogy az Android-bankár, Anubis ismét aktív, és most célba veszi 394 felhasználókat, beleértve a pénzintézetek termékeit is, kriptovaluta pénztárcák és virtuális fizetési platformok. Egy időben, Figyelés szakértők azt írják, hogy az új bankár kampánya még tesztelési és optimalizálási szakaszban van.

Anubis évben észlelték először a hacker fórumokon 2016 amikor nyílt forráskódú banki trójaiként terjesztették, részletes utasításokkal az ügyfél és a különböző összetevők megvalósítására vonatkozóan.

In 2019, a rosszindulatú program beszerzett egy ransomware modult és beszivárgott a Google Play Áruház, hamis injekciós alkalmazások használata. In 2020, a trójai elindította a nagyszabású adathalász kampány felhasználóit célozza meg 250 vásárlási és banki alkalmazások.

A rosszindulatú program egyszerű módon működik: Általában az Anubis adathalász fedvényeket jelenít meg a valós alkalmazásablak tetején, és ellopja a felhasználó által megadott hitelesítő adatokat.

A rosszindulatú program új verziója, észrevette Figyelés szakértők, célpontok 394 alkalmazásokhoz, és a következő funkciókkal rendelkezik:

1. képernyőtevékenység és hang rögzítése mikrofonról;
2. SOCKS5 proxy szerver megvalósítása rejtett kommunikációhoz és csomagküldéshez;
3. képernyőképek mentése;
4. SMS-üzenetek tömeges elosztása az eszközről a megadott címzettekhez;
5. a készüléken tárolt névjegyek visszakeresése;
6. küldés, olvasás, az eszköz által fogadott SMS-üzenetek értesítéseinek törlése és blokkolása;
7. az eszköz átvizsgálása a hackerek számára érdekes fájlok keresésére lopás miatt;
8. zárolja az eszköz képernyőjét, és jelenítse meg a váltságdíjat;
9. USSD-kérések küldése a fiókok állapotának megismerésére;
10. GPS adatok és lépésszámláló statisztikák gyűjtése;
11. egy keylogger megvalósítása hitelesítő adatok ellopásához;
12. az overlay támadásokat végrehajtó aktív alkalmazások figyelése;
13. egyéb rosszindulatú programok leállítása és a versengő rosszindulatú programok eltávolítása az eszközről.

Mint az Anubis korábbi verzióiban, a rosszindulatú program észleli, hogy a Google Play Protected engedélyezve van-e az érintett eszközön, majd hamis rendszerfigyelmeztetést küld, hogy rávegye a felhasználót a kikapcsolásra. Ez teljes hozzáférést biztosít a trójainak az eszközhöz, és szabadon küldhet és fogadhat adatokat a C-ről&C szerver minden akadály nélkül.

Szakértők jelentése szerint ezúttal a támadók megpróbálták benyújtani a fr.orange.serviceapp csomagot a Google Play Áruházba júliusban 2021, de aztán a kérelmüket elutasították. Látszólag, ez csak egy kísérlet volt a Google rendszereinek tesztelésére a rosszindulatú programok elleni védelem szempontjából, azóta a támadók csak részben valósították meg elhomályosító sémájukat.

Eddig, a rosszindulatú alkalmazás terjesztése Orange SA, felszerelve az Anubis új verziójával, harmadik felek webhelyein keresztül történik, bejegyzések a közösségi hálózatokon, fórumokon, stb. Egy időben, a rosszindulatú kampány nemcsak az Orange SA francia ügyfeleit célozza meg, hanem az amerikai felhasználók is, beleértve a vásárlókat is Bank of America, US Bank, Capital One, Üldözés, SunTrust és Wells Fargo.

Hadd emlékeztesselek arra, hogy mi is ezt mondtuk SharkBot Az Android trójai kriptovalutákat lop, és bankszámlákat tör fel.