Anubis Android Banker mikt op bijna 400 Gebruikers van financiële apps

Beveiligingsonderzoekers hebben ontdekt dat de Android-bankier Anubis weer actief is en nu doelwit is 394 gebruikers, inclusief producten van financiële instellingen, cryptocurrency-portefeuilles en virtuele betalingsplatforms. Tegelijkertijd, Pas op experts schrijven dat de campagne van de nieuwe bankier zich nog in de test- en optimalisatiefase bevindt.

Anubis werd voor het eerst gespot op hackerforums in 2016 toen het werd gedistribueerd als een open source banking-trojan met gedetailleerde instructies voor het implementeren van de client en verschillende componenten.

In 2019, de malware verwierf een ransomware-module en infiltreerde de Google Play Store, nep-applicaties gebruiken voor injectie. In 2020, de Trojan gelanceerd a grootschalige phishing-campagne gericht op gebruikers van 250 apps voor winkelen en bankieren.

De malware werkt op een eenvoudige manier: meestal toont Anubis phishing-overlays bovenop echte applicatievensters en steelt door de gebruiker ingevoerde inloggegevens.

De nieuwe versie van malware, gespot door Pas op experts, doelen 394 toepassingen en heeft de volgende kenmerken::

1. opname van schermactiviteit en geluid van een microfoon;
2. implementatie van een SOCKS5-proxyserver voor geheime communicatie en pakketbezorging;
3. schermafbeeldingen opslaan;
4. massadistributie van sms-berichten van het apparaat naar de opgegeven ontvangers;
5. ophalen van contacten die op het apparaat zijn opgeslagen;
6. Bezig met verzenden, lezing, het verwijderen en blokkeren van meldingen voor door het apparaat ontvangen sms-berichten;
7. het apparaat scannen op zoek naar bestanden die van belang zijn voor hackers voor diefstal;
8. vergrendel het scherm van het apparaat en geef de vraag om losgeld weer;
9. USSD-verzoeken verzenden om meer te weten te komen over de status van accounts;
10. verzameling van GPS-gegevens en stappentellerstatistieken;
11. implementatie van een keylogger om inloggegevens te stelen;
12. monitoring van actieve applicaties die overlay-aanvallen uitvoeren;
13. beëindiging van andere kwaadaardige programma's en verwijdering van concurrerende malware van het apparaat.

Net als in eerdere versies van Anubis, de malware detecteert of Google Play Protected is ingeschakeld op het getroffen apparaat, en stuurt vervolgens een valse systeemwaarschuwing om de gebruiker te misleiden om het uit te schakelen. Dit geeft de Trojan volledige toegang tot het apparaat en de vrijheid om gegevens te verzenden en te ontvangen van de C&C-server zonder enige belemmering.

Experts melden dat de aanvallers deze keer probeerden de fr.orange.serviceapp pakket naar de Google Play Store in juli 2021, maar toen werd hun aanvraag afgewezen. Blijkbaar, dit was slechts een poging om Google-systemen te testen op bescherming tegen malware, sindsdien hebben de aanvallers hun verduisteringsschema slechts gedeeltelijk geïmplementeerd.

Tot dusver, de verspreiding van de kwaadaardige applicatie Oranje SA, uitgerust met een nieuwe versie van Anubis, gebeurt via sites van derden, berichten op sociale netwerken, op forums, enzovoorts. Tegelijkertijd, de kwaadaardige campagne richt zich niet alleen op Franse klanten van Orange SA, maar ook Amerikaanse gebruikers, inclusief klanten van bank van Amerika, Amerikaanse bank, Hoofdstad Een, achtervolging, SunTrust en Wells Fargo.

Laat me je eraan herinneren dat we dat ook hebben verteld SharkBot Android-trojan steelt cryptovaluta en hackt bankrekeningen.