Anubis Android Banker jest na celowniku prawie 400 Użytkownicy aplikacji finansowych

Badacze bezpieczeństwa odkryli, że bankowiec Android Anubis znów jest aktywny i teraz atakuje 394 użytkownicy, w tym produkty instytucji finansowych, portfele kryptowalut i wirtualne platformy płatnicze. W tym samym czasie, Uważaj eksperci piszą, że kampania nowego bankiera jest wciąż w fazie testów i optymalizacji.

Anubis po raz pierwszy zauważono na forach hakerskich w 2016 kiedy był dystrybuowany jako trojan bankowy o otwartym kodzie źródłowym ze szczegółowymi instrukcjami, jak zaimplementować klienta i różne komponenty.

w 2019, złośliwe oprogramowanie nabyło moduł ransomware i przeniknęło do sieci Google Sklep Play, używanie fałszywych aplikacji do wstrzykiwań. w 2020, trojan uruchomił kampania phishingowa na dużą skalę skierowane do użytkowników 250 aplikacje zakupowe i bankowe.

Malware działa w prosty sposób: zwykle Anubis wyświetla nakładki phishingowe na prawdziwych oknach aplikacji i kradnie dane uwierzytelniające wprowadzone przez użytkownika.

Nowa wersja złośliwego oprogramowania, zauważony przez Uważaj eksperci, cele 394 aplikacje i posiada następujące cechy:

1. nagrywanie aktywności na ekranie i dźwięku z mikrofonu;
2. wdrożenie serwera proxy SOCKS5 do tajnej komunikacji i dostarczania pakietów;
3. zapisywanie zrzutów ekranu;
4. masowa dystrybucja wiadomości SMS z urządzenia do określonych odbiorców;
5. odzyskiwanie kontaktów zapisanych na urządzeniu;
6. wysyłanie, czytanie, usuwanie i blokowanie powiadomień o wiadomościach SMS odebranych przez urządzenie;
7. skanowanie urządzenia w poszukiwaniu plików interesujących hakerów pod kątem kradzieży;
8. zablokuj ekran urządzenia i wyświetl żądanie okupu;
9. wysyłanie zapytań USSD w celu uzyskania informacji o stanie kont;
10. zbieranie danych GPS i statystyk krokomierza;
11. wdrożenie keyloggera do kradzieży danych uwierzytelniających;
12. monitorowanie aktywnych aplikacji wykonujących ataki typu overlay;
13. usuwanie innych szkodliwych programów i usuwanie konkurencyjnego szkodliwego oprogramowania z urządzenia.

Podobnie jak w poprzednich wersjach Anubis, złośliwe oprogramowanie wykrywa, czy na zaatakowanym urządzeniu jest włączony Google Play Protected, a następnie wysyła fałszywe ostrzeżenie systemowe, aby nakłonić użytkownika do jego wyłączenia. Daje to trojanowi pełny dostęp do urządzenia oraz swobodę wysyłania i odbierania danych z C&Serwer C bez żadnych przeszkód.

Eksperci podają, że tym razem napastnicy próbowali złożyć fr.orange.serviceapp pakiet do sklepu Google Play w lipcu 2021, ale potem ich wniosek został odrzucony. Widocznie, to była tylko próba przetestowania systemów Google pod kątem ochrony przed złośliwym oprogramowaniem, od tego czasu napastnicy tylko częściowo wdrożyli swój schemat zaciemniania.

Jak dotąd, dystrybucja złośliwej aplikacji Pomarańczowy SA, wyposażony w nową wersję Anubis, odbywa się za pośrednictwem witryn stron trzecich, posty w sieciach społecznościowych, na forach, i tak dalej. W tym samym czasie, szkodliwa kampania atakuje nie tylko francuskich klientów Orange SA, ale także amerykańscy użytkownicy, w tym klienci Bank Ameryki, Bank USA, Kapitał pierwszy, pościg, SunZaufanie i Wells Fargo.

Przypomnę, że my też o tym mówiliśmy SharkBot Trojan na Androida kradnie kryptowalutę i włamuje się do kont bankowych.