Groźny wirus w Google Play
W ciągu ostatnich kilku miesięcy zespół Zscaler ThreatLabz odkrył i przeanalizował ponad 90 złośliwych aplikacji, które łącznie zostały pobrane ponad 5,5 miliona razy. Wśród nich szczególną uwagę przyciągnęły aplikacje dystrybuujące trojana Anatsa.
Anatsa jest wyjątkowo niebezpiecznym złośliwym oprogramowaniem, które wykorzystuje tzw. aplikacje droppery. Są to programy, które na pierwszy rzut oka wydają się nieszkodliwe – na przykład czytniki PDF czy aplikacje do skanowania kodów QR.
Jednak po ich pobraniu na urządzeniu użytkownika, aplikacje te ściągają i instalują złośliwy kod, który kradnie dane logowania do banków i inne poufne informacje finansowe.
Cyberprzestępcy ukrywają trojana
Cyberprzestępcy wykorzystujący Anatsa stosują różnorodne techniki, aby uniknąć wykrycia przez systemy zabezpieczające. Aplikacje te sprawdzają, czy nie są uruchamiane w środowiskach wirtualnych lub emulatorach, które są często używane przez analityków cyberbezpieczeństwa do badania złośliwego oprogramowania. Co więcej – specjalnie uszkadzają nagłówki plików APK, aby utrudnić ich analizę statyczną.
Trojan Anatsa jest znany ze swoich ataków na aplikacje bankowe w ponad 650 instytucjach finansowych.
Zakres jego działania obejmuje głównie Stany Zjednoczone, Wielką Brytanię, Niemcy, Hiszpanię, Finlandię, Koreę Południową i Singapur. Anatsa stosuje technikę stopniowego ładowania złośliwego oprogramowania – początkowa aplikacja wydaje się czysta, ale po zainstalowaniu pobiera kolejne, bardziej szkodliwe komponenty z serwera kontrolowanego przez przestępców.
Jak działa Anatsa?
Proces cyberataku zaczyna się od pobrania aplikacji droppera z Google Play. Gdy użytkownik zainstaluje taką aplikację, ta nawiązuje kontakt z serwerem przestępców i pobiera drugą fazę złośliwego oprogramowania, które często jest zamaskowane jako aktualizacja aplikacji.
Kolejne etapy polegają na pobraniu dodatkowych plików i konfiguracji, które umożliwiają pełne przejęcie kontroli nad urządzeniem.
Jednym z najbardziej zaawansowanych aspektów Anatsa jest wykorzystanie technik unikania analizy. Złośliwe oprogramowanie sprawdza środowisko urządzenia, aby upewnić się, że nie jest analizowane przez specjalistów ds. bezpieczeństwa.
Dopiero po tych weryfikacjach pobiera trzecią, ostateczną fazę złośliwego oprogramowania, które rozpoczyna właściwe działania szkodliwe.
Skala problemu trojanów bankowych
Badania Zscaler ThreatLabz pokazują, że najbardziej narażone na ataki są aplikacje z kategorii „narzędzia”, które stanowią prawie 40% wszystkich złośliwych aplikacji w Google Play. Dużą popularnością wśród cyberprzestępców cieszą się również aplikacje związane z personalizacją oraz fotografią, które stanowią odpowiednio 20% i 13%.
Wśród złośliwego oprogramowania rozprowadzanego przez Google Play dominują takie rodziny malware jak Joker, Adware, Facestealer, Anatsa i Coper. Choć Anatsa i Coper stanowią mniejszy odsetek (odpowiednio 2% i 1%), są one wyjątkowo groźnymi trojanami bankowymi.
Jak się chronić przed trojanem?
W obliczu rosnącego zagrożenia ze strony złośliwego oprogramowania użytkownicy muszą zachować szczególną ostrożność przy instalowaniu aplikacji z Google Play. Ważne jest, aby pobierać aplikacje tylko od zaufanych deweloperów oraz regularnie aktualizować swoje urządzenia.
Dla firm i instytucji finansowych kluczowe jest wdrażanie zaawansowanych rozwiązań bezpieczeństwa, takich jak architektura zero trust. Zamiast polegać tylko na tradycyjnych metodach zabezpieczeń, podejście to koncentruje się na stałej weryfikacji tożsamości użytkowników i autoryzacji dostępu do zasobów, niezależnie od lokalizacji czy urządzenia.
Cyberataki z użyciem trojana bankowego Anatsa pokazują, jak ważne jest dbanie o cyberbezpieczeństwo naszych urządzeń mobilnych. Cyberprzestępcy ciągle udoskonalają swoje techniki, aby oszukać użytkowników i wykradać ich wrażliwe dane.
Dlatego tak ważne jest, aby być świadomym zagrożeń i podejmować odpowiednie kroki, aby się przed nimi chronić.
