Anubis Android Banker riktar sig nästan 400 Användare av finansiella appar

Säkerhetsforskare har funnit att Android-bankiren Anubis är aktiv igen och nu siktar 394 användare, inklusive produkter från finansinstitut, kryptovaluta plånböcker och virtuella betalningsplattformar. På samma gång, Se upp experter skriver att den nya bankirens kampanj fortfarande är i test- och optimeringsstadiet.

Anubis upptäcktes först på hackerforum i 2016 när den distribuerades som en banktrojan med öppen källkod med detaljerade instruktioner om hur man implementerar klienten och olika komponenter.

I 2019, skadlig programvara skaffade en ransomware-modul och infiltrerade Google Play Butik, använda falska applikationer för injektion. I 2020, trojanen lanserade en storskalig nätfiskekampanj riktar sig till användare av 250 shopping- och bankappar.

Skadlig programvara fungerar på ett enkelt sätt: vanligtvis visar Anubis nätfiske-överlägg ovanpå riktiga programfönster och stjäl användarangivna autentiseringsuppgifter.

Den nya versionen av skadlig programvara, upptäckt av Se upp experter, mål 394 applikationer och har följande funktioner:

  1. inspelning av skärmaktivitet och ljud från en mikrofon;
  2. implementering av en SOCKS5 proxyserver för hemlig kommunikation och paketleverans;
  3. spara skärmdumpar;
  4. massdistribution av SMS-meddelanden från enheten till angivna mottagare;
  5. hämtning av kontakter lagrade på enheten;
  6. sändning, läsning, radera och blockera aviseringar för SMS-meddelanden som tas emot av enheten;
  7. skanna enheten för att söka efter filer av intresse för hackare för stöld;
  8. lås enhetens skärm och visa kravet på lösen;
  9. skicka USSD-förfrågningar för att få reda på statusen för konton;
  10. insamling av GPS-data och stegräknarestatistik;
  11. implementering av en keylogger för att stjäla referenser;
  12. övervakning av aktiva applikationer som utför överlagringsattacker;
  13. avslutande av andra skadliga program och borttagning av konkurrerande skadlig programvara från enheten.

Som i tidigare versioner av Anubis, skadlig programvara upptäcker om Google Play Protected är aktiverat på den berörda enheten, och skickar sedan en falsk systemvarning för att lura användaren att stänga av det. Detta ger trojanen full tillgång till enheten och friheten att skicka och ta emot data från C&C-server utan några hinder.

Google Play Protect

Experter rapporterar att den här gången försökte angriparna att lämna in fr.orange.serviceapp paket till Google Play Butik i juli 2021, men sedan avslogs deras ansökan. Tydligen, detta var bara ett försök att testa Googles system för skydd mot skadlig programvara, sedan dess har angriparna endast delvis implementerat sitt förvirringsschema.

Än så länge, distributionen av det skadliga programmet Orange SA, utrustad med en ny version av Anubis, sker via tredje parts webbplatser, inlägg på sociala nätverk, på forum, och så vidare. På samma gång, den skadliga kampanjen riktar sig inte bara till franska kunder hos Orange SA, men även amerikanska användare, inklusive kunder av amerikanska banken, amerikanska banken, Kapitel ett, jaga, SunTrust och Wells Fargo.

Med tanke på att Anubis-koden länge har distribuerats på många hackerforum, det används av många hackare, och nu är det extremt svårt att förstå vem som ligger bakom den nya versionen av trojanen. För övrigt, angriparna försöker dölja sina spår och använder Cloudflare för att omdirigera all nätverkstrafik över SSL, medan C&C-server maskerar som en kryptovalutaväxlare med hjälp av domänen https://quickbitrade[.]Med.

Låt mig påminna om att vi också berättade det SharkBot Android Trojan stjäl kryptovaluta och hackar bankkonton.

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen