Na SI-CERT-u ponovno zaznavamo porast primerov okužb mobilnih naprav z zlonamernimi mobilnimi aplikacijami iz družine Anatsa (tudi Teabot in Toddler).
Škodljive aplikacije napadalcu služijo pri kraji denarja iz bančnih aplikacij, o prvem valu okužb slovenskih žrtev pa smo javnost obveščali že v letošnjem februarju.
Po poročanju podjetja Zcaler (https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google) sta bili tokrat v trgovini Google Play na voljo za prenos dve škodljivi aplikaciji – “PDF Reader & File Manager” in “QR Reader & File Manager”.
Ikoni zlonamernih aplikacij na trgovini Google Play
PDF Reader & File Manager (ime paketa: com.ultimatefilesviewer.filemanagerwithpdfsupport)
QR Reader & File Manager (ime paketa: com.appandutilitytools.fileqrutility)
Potek napada
Zlonamerna aplikacija ves čas beleži uporabniške klike in vnose ter na napadalčevo zahtevo na kontrolni strežnik periodično pošilja tudi posnetke zaslona.
S sledenjem uporabniške aktivnosti napadalcu omogoča zbiranje žrtvinih osebnih podatkov, med katerimi sta zanj najzanimivejša uporabniško ime in geslo za prijavo v aplikacijo mobilne banke.
Na podlagi prestreženih podatkov ugotovi žrtvin vzorec uporabe naprave in določi časovno okno njene neaktivnosti, v katerem lahko neovirano izvede krajo. Nakazilo običajno opravi v nočnih urah, ko žrtve spijo.
Škodljiva aplikacija omogoča samodejen prenos, namestitev in zagon orodja za zagotavljanje oddaljenega dostopa, običajno eno izmed storitev Anydesk in TeamViewer, ki napdalcu omogoča poln nadzor nad okuženo napravo.
V večini obravnavanih primerov žrtve poročajo o enakem poteku kraje, v katerem je prvi korak napadalčevo preprečevanje zaklepanja zaslona naprave, saj mu odklenjena naprava omogoča enostavno pridobivanje oddaljenega dostopa.
Ob tem s kontrolnega strežnika pošlje zahtevo za onemogočanje prikaza obvestil prejetih SMS sporočil, s čimer zakrije morebitna obvestila banke o zaznanih sumljivih transakcijah.
Zlonamerne aplikacije družine Anatsa za izvedbo svojih zlonamernih funkcionalnosti zahtevajo pravice storitev dostopnosti (ang. Acessibility Services), zato uporabnikom svetujemo, naj aplikacijam, ki jim ne zaupajo, ne dodeljujejo omenjenih pravic.
Uporabnikom, ki so namestili katero od zlonamernih aplikacij in ji omogočili uporabo storitev dostopnosti, svetujemo izvedbo ukrepov na spodnji povezavi.
Prvo obvestilo in ukrepi po okužbi https://www.cert.si/si-cert-2024-03/.
Podrobnejši tehnični zapis https://www.cert.si/si-cert-tz015/.