Anubis Android Banker målretter seg nesten 400 Brukere av finansielle apper

Sikkerhetsforskere har funnet ut at Android-bankmannen Anubis er aktiv igjen og nå sikter 394 brukere, inkludert produkter fra finansinstitusjoner, cryptocurrency lommebøker og virtuelle betalingsplattformer. Samtidig, Se opp eksperter skriver at den nye bankmannens kampanje fortsatt er i test- og optimaliseringsstadiet.

Anubis ble først oppdaget på hackerfora i 2016 da den ble distribuert som en åpen kildekode-banktrojaner med detaljerte instruksjoner om hvordan du implementerer klienten og ulike komponenter.

I 2019, skadelig programvare skaffet seg en løsepengevaremodul og infiltrerte Google Play Butikk, bruke falske applikasjoner for injeksjon. I 2020, trojaneren lanserte en storstilt phishing-kampanje rettet mot brukere av 250 shopping- og bankapper.

Skadevaren fungerer på en enkel måte: vanligvis viser Anubis phishing-overlegg på toppen av ekte programvinduer og stjeler brukerangitt legitimasjon.

Den nye versjonen av skadelig programvare, oppdaget av Se opp eksperter, mål 394 applikasjoner og har følgende funksjoner:

1. opptak av skjermaktivitet og lyd fra mikrofon;
2. implementering av en SOCKS5 proxy-server for skjult kommunikasjon og pakkelevering;
3. lagre skjermbilder;
4. massedistribusjon av SMS-meldinger fra enheten til spesifiserte mottakere;
5. henting av kontakter som er lagret på enheten;
6. sending, lesning, sletting og blokkering av varsler for SMS-meldinger mottatt av enheten;
7. skanning av enheten på jakt etter filer av interesse for hackere for tyveri;
8. lås enhetens skjerm og vis kravet om løsepenger;
9. sende USSD-forespørsler for å finne ut om statusen til kontoer;
10. innsamling av GPS-data og skrittellerstatistikk;
11. implementering av en keylogger for å stjele legitimasjon;
12. overvåking av aktive applikasjoner som utfører overleggsangrep;
13. avslutning av andre skadelige programmer og fjerning av konkurrerende skadelig programvare fra enheten.

Som i tidligere versjoner av Anubis, skadelig programvare oppdager om Google Play Protected er aktivert på den berørte enheten, og sender deretter en falsk systemadvarsel for å lure brukeren til å slå den av. Dette gir trojaneren full tilgang til enheten og friheten til å sende og motta data fra C&C-server uten noen hindring.

Eksperter rapporterer at denne gangen forsøkte angriperne å sende inn fr.orange.serviceapp pakken til Google Play Store i juli 2021, men så ble søknaden deres avslått. Tilsynelatende, dette var bare et forsøk på å teste Google-systemer for beskyttelse mot skadelig programvare, siden da implementerte angriperne bare delvis tilsløringsordningen.

Så langt, distribusjonen av den skadelige applikasjonen Orange SA, utstyrt med en ny versjon av Anubis, skjer gjennom tredjeparts nettsteder, innlegg på sosiale nettverk, på fora, og så videre. Samtidig, den ondsinnede kampanjen retter seg ikke bare mot franske kunder av Orange SA, men også amerikanske brukere, inkludert kunder av Bank of America, amerikansk bank, Kapital én, jage, SunTrust og Wells Fargo.

La meg minne om at vi også fortalte det SharkBot Android Trojan stjeler kryptovaluta og hacker bankkontoer.