Anubis Android Banker mira quasi 400 Utenti di app finanziarie

I ricercatori di sicurezza hanno scoperto che il banchiere Android Anubis è di nuovo attivo e ora prende di mira 394 utenti, compresi i prodotti delle istituzioni finanziarie, portafogli di criptovaluta e piattaforme di pagamento virtuali. Allo stesso tempo, Attenzione gli esperti scrivono che la campagna del nuovo banchiere è ancora in fase di test e ottimizzazione.

Anubi è stato avvistato per la prima volta sui forum degli hacker in 2016 quando è stato distribuito come Trojan bancario open source con istruzioni dettagliate su come implementare il client e vari componenti.

In 2019, il malware ha acquisito un modulo ransomware e si è infiltrato nel Google Play Store, usando applicazioni false per l'iniezione. In 2020, il Trojan ha lanciato a campagna di phishing su larga scala rivolto agli utenti di 250 app per acquisti e operazioni bancarie.

Il malware funziona in modo semplice: di solito Anubis visualizza sovrapposizioni di phishing sopra le finestre delle applicazioni reali e ruba le credenziali inserite dall'utente.

La nuova versione del malware, avvistato da Attenzione esperti, obiettivi 394 applicazioni e ha le seguenti caratteristiche:

1. registrazione dell'attività dello schermo e del suono da un microfono;
2. implementazione di un server proxy SOCKS5 per comunicazioni segrete e consegna di pacchetti;
3. salvare gli screenshot;
4. distribuzione di massa di messaggi SMS dal dispositivo ai destinatari specificati;
5. recupero dei contatti memorizzati sul dispositivo;
6. invio, lettura, eliminazione e blocco delle notifiche per i messaggi SMS ricevuti dal dispositivo;
7. scansione del dispositivo alla ricerca di file di interesse per gli hacker per furto;
8. bloccare lo schermo del dispositivo e visualizzare la richiesta di riscatto;
9. inviare richieste USSD per conoscere lo stato dei conti;
10. raccolta di dati GPS e statistiche del pedometro;
11. implementazione di un keylogger per rubare credenziali;
12. monitoraggio delle applicazioni attive che eseguono attacchi overlay;
13. chiusura di altri programmi dannosi e rimozione di malware concorrenti dal dispositivo.

Come nelle versioni precedenti di Anubis, il malware rileva se Google Play Protected è abilitato sul dispositivo interessato, e quindi invia un falso avviso di sistema per indurre l'utente a spegnerlo. Questo dà al Trojan pieno accesso al dispositivo e la libertà di inviare e ricevere dati dal C&Server C senza alcun ostacolo.

Gli esperti riferiscono che questa volta gli aggressori hanno cercato di presentare il fr.orange.serviceapp pacchetto sul Google Play Store a luglio 2021, ma poi la loro domanda è stata respinta. Apparentemente, questo era solo un tentativo di testare i sistemi di Google per la protezione contro il malware, da allora gli aggressori hanno implementato solo parzialmente il loro schema di offuscamento.

Finora, la distribuzione dell'applicazione dannosa Arancio SA, dotato di una nuova versione di Anubis, avviene tramite siti di terze parti, post sui social network, sui forum, e così via. Allo stesso tempo, la campagna malevola si rivolge non solo ai clienti francesi di Orange SA, ma anche utenti americani, compresi i clienti di Banca d'America, Banca degli Stati Uniti, Capital One, caccia, SunTrust e Wells Fargo.

Permettetemi di ricordarvi che l'abbiamo anche detto SharkBot Android Trojan ruba criptovaluta e hackera conti bancari.