Skoči na vsebino

Okužbe s trojanskim konjem Anatsa v maju in juniju 2024

Na SI-CERT-u ponovno zaznavamo porast primerov okužb mobilnih naprav z zlonamernimi mobilnimi aplikacijami iz družine Anatsa (tudi Teabot in Toddler).

Škodljive aplikacije napadalcu služijo pri kraji denarja iz bančnih aplikacij, o prvem valu okužb slovenskih žrtev pa smo javnost obveščali že v letošnjem februarju. 

Po poročanju podjetja Zcaler (https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google) sta bili tokrat v trgovini Google Play na voljo za prenos dve škodljivi aplikaciji – “PDF Reader & File Manager” in “QR Reader & File Manager”.

Ikoni zlonamernih aplikacij na trgovini Google Play

PDF Reader & File Manager (ime paketa: com.ultimatefilesviewer.filemanagerwithpdfsupport)

QR Reader & File Manager (ime paketa: com.appandutilitytools.fileqrutility)

Potek napada

Zlonamerna aplikacija ves čas beleži uporabniške klike in vnose ter na napadalčevo zahtevo na kontrolni strežnik periodično pošilja tudi posnetke zaslona.

S sledenjem uporabniške aktivnosti napadalcu omogoča zbiranje žrtvinih osebnih podatkov, med katerimi sta zanj najzanimivejša uporabniško ime in geslo za prijavo v aplikacijo mobilne banke.

Na podlagi prestreženih podatkov ugotovi žrtvin vzorec uporabe naprave in določi časovno okno njene neaktivnosti, v katerem lahko neovirano izvede krajo. Nakazilo običajno opravi v nočnih urah, ko žrtve spijo. 

Škodljiva aplikacija omogoča samodejen prenos, namestitev in zagon orodja za zagotavljanje oddaljenega dostopa, običajno eno izmed storitev Anydesk in TeamViewer, ki napdalcu omogoča poln nadzor nad okuženo napravo.

V večini obravnavanih primerov žrtve poročajo o enakem poteku kraje, v katerem je prvi korak napadalčevo preprečevanje zaklepanja zaslona naprave, saj mu odklenjena naprava omogoča enostavno pridobivanje oddaljenega dostopa.

Ob tem s kontrolnega strežnika pošlje zahtevo za onemogočanje prikaza obvestil prejetih SMS sporočil, s čimer zakrije morebitna obvestila banke o zaznanih sumljivih transakcijah.

Zlonamerne aplikacije družine Anatsa za izvedbo svojih zlonamernih funkcionalnosti zahtevajo pravice storitev dostopnosti (ang. Acessibility Services), zato uporabnikom svetujemo, naj aplikacijam, ki jim ne zaupajo, ne dodeljujejo omenjenih pravic.

Uporabnikom, ki so namestili katero od zlonamernih aplikacij in ji omogočili uporabo storitev dostopnosti, svetujemo izvedbo ukrepov na spodnji povezavi.

Prvo obvestilo in ukrepi po okužbi https://www.cert.si/si-cert-2024-03/.

Podrobnejši tehnični zapis https://www.cert.si/si-cert-tz015/.

Preberite tudi

Izmenjava informacij o kibernetskih grožnjah v slovenskem prostoru

Stičišče MISP v Sloveniji upravlja SI-CERT, ki širi zavedanje o pomembnosti izmenjave informacij med lokalnimi deležniki ravno prek platforme MISP
Več

Strah hitro zleze v kosti

Izkušnje stanovskih kolegov kažejo, da napadi onemogočanja na spletne strani državnih ustanov ne pojenjajo. Podobne napade lahko pričakujemo tudi v Sloveniji.
Več

Onemogočanje spletnega mesta predsednice Republike Slovenije

Danes popoldne, 27. marca 2024 okoli 15:30, je prišlo do onemogočanja spletnega mesta predsednice Republike Slovenije. Na dogodek so se takoj odzvale pristojne institucije. Nacionalni odzivni center za kibernetsko varnost …
Več