Alvos do Anubis Android Banker quase 400 Usuários de aplicativos financeiros
Pesquisadores de segurança descobriram que o banqueiro Android Anubis está ativo novamente e agora tem como alvo 394 Comercial, incluindo produtos de instituições financeiras, carteiras de criptomoedas e plataformas virtuais de pagamento. Ao mesmo tempo, Tenha cuidado especialistas escrevem que a campanha do novo banqueiro ainda está em estágio de teste e otimização.
Anubis foi visto pela primeira vez em fóruns de hackers em 2016 quando foi distribuído como um Trojan bancário de código aberto com instruções detalhadas sobre como implementar o cliente e vários componentes.
No 2019, o malware adquiriu um módulo de ransomware e se infiltrou no Google Loja de jogos, usando aplicativos falsos para injeção. No 2020, o Trojan lançou um campanha de phishing em grande escala destinado a usuários de 250 aplicativos de compras e bancos.
O malware funciona de maneira simples: normalmente o Anubis exibe sobreposições de phishing em cima de janelas de aplicativos reais e rouba credenciais inseridas pelo usuário.
A nova versão do malware, manchado por Tenha cuidado experts, alvos 394 aplicativos e tem os seguintes recursos:
- gravação de atividade de tela e som de um microfone;
- implementação de um servidor proxy SOCKS5 para comunicação secreta e entrega de pacotes;
- salvando capturas de tela;
- distribuição em massa de mensagens SMS do dispositivo para os destinatários especificados;
- recuperação de contatos armazenados no dispositivo;
- enviando, lendo, excluir e bloquear notificações para mensagens SMS recebidas pelo dispositivo;
- escaneando o dispositivo em busca de arquivos do interesse de hackers para roubo;
- bloquear a tela do dispositivo e exibir o pedido de resgate;
- enviar solicitações USSD para saber sobre o status das contas;
- coleta de dados GPS e estatísticas de pedômetro;
- implementação de um keylogger para roubar credenciais;
- monitoramento de aplicativos ativos realizando ataques de sobreposição;
- encerramento de outros programas maliciosos e remoção de malware concorrente do dispositivo.
Como nas versões anteriores do Anubis, o malware detecta se o Google Play Protected está habilitado no dispositivo afetado, e, em seguida, envia um aviso de sistema falso para enganar o usuário para desligá-lo. Isso dá ao cavalo de Tróia acesso total ao dispositivo e a liberdade de enviar e receber dados do C&Servidor C sem qualquer obstáculo.
Especialistas relatam que, desta vez, os invasores tentaram enviar o fr.orange.serviceapp pacote para a Google Play Store em julho 2021, mas então seu pedido foi rejeitado. Pelo visto, esta foi apenas uma tentativa de testar os sistemas do Google para proteção contra malware, desde então, os invasores implementaram apenas parcialmente seu esquema de ofuscação.
Até aqui, a distribuição do aplicativo malicioso Orange SA, equipado com uma nova versão do Anubis, ocorre por meio de sites de terceiros, postagens em redes sociais, em fóruns, e assim por diante. Ao mesmo tempo, a campanha maliciosa não visa apenas os clientes franceses da Orange SA, mas também usuários americanos, incluindo clientes de Banco da América, US Bank, Capital One, perseguir, SunTrust e Wells Fargo.
Deixe-me lembrá-lo de que também dissemos que SharkBot Cavalo de Troia Android rouba criptomoeda e hackear contas bancárias.