自 2023 年 3 月以來,一個安卓木馬程式 Anatsa 鎖定美國、英國、德奧瑞(DACH)國家進行攻擊行動。ThreatFabric 揭露 Anatsa 通過 Google Play 商店散播惡意程式,且這種方法就已經有超過 30,000 次下載量。而 Anatsa 的目標包含全球近 600 個金融機構的 App,針對使用行動銀行的客戶進行釣魚攻擊。
主要手法
Anatsa 也被稱為 TeaBot 和 Toddler,首次出現於 2021 年初,據觀察,它會偽裝成看似無害的實用 App,例如 PDF 閱讀器、二維碼掃描器和 Google Play 上的雙重要素驗證 (2FA) 應用程式來吸引用戶。Anatsa 的駭客旨在竊取用於行動銀行授權客戶的憑據,並執行設備接管欺詐 (DTO) 來發起欺詐交易。目前它已成為最多產的銀行惡意程式之一,針對全球近 600 家金融機構。
這些 App 會偽裝無害的形式提交到 Google Play,隨後使用惡意代碼進行更新,以逃避 Google 在首次提交時嚴格的代碼審查流程。一旦安裝在受害者的設備上,植入 App 就會請求託管在 GitHub 上的外部資源,從那裡下載偽裝成 Adobe Illustrator 文本識別器插件的 Anatsa 有效負載。當用戶嘗試啟動其合法的銀行 App 時,Anatsa 通過在前台覆蓋網絡釣魚頁面以及通過鍵盤記錄來收集銀行帳戶憑據、信用卡詳細訊息、付款訊息等。
圖片來源:https://www.threatfabric.com/blogs/anatsa-hits-uk-and-dach-with-new-campaign
根據研究表示,由於相關的交易是從使用者經常操作的設備執行,銀行的反詐欺系統通常難以察覺有異狀。以下是有被發現內含 Anatsa 的 App:
All Document Reader & Editor (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
All Document Reader and Viewer (com.muchlensoka.pdfcreator)
PDF Reader - Edit & View PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
PDF Reader & Editor (com.proderstarler.pdfsignature)
PDF Reader & Editor (moh.filemanagerrespdf)
結論
Anatsa 的活動揭示了當今行動銀行和金融機構所面臨的威脅形勢。最近針對美國、DACH(德國、奧地利和瑞士地區)以及英國地區的 Google Play Store 發動的攻擊顯現了網路詐騙的巨大潛力,以及對此類威脅采取主動措施的需求。
在這個發展迅速的網絡詐騙環境中,對抗像 Anatsa 這樣的移動銀行木馬需要提供客戶端的可視性和適應性,並借助內置於銀行應用程式中的SDK(軟體開發套件)的幫助,才能有效防止類似的攻擊事件。
參考資料:
Anatsa banking Trojan hits UK, US and DACH with new campaign ( 26 Jun 2023 )
-https://www.threatfabric.com/blogs/anatsa-hits-uk-and-dach-with-new-campaign
美國、歐洲銀行用戶遭安卓木馬Anatsa鎖定 ( 28 Jun 2023 )
-https://www.ithome.com.tw/news/157532
Anatsa Malware Spotted on Google Play Attack Banking Customers ( 27 Jun 2023 )
-https://gbhackers.com/anatsa-malware-on-google-play/amp/
Anatsa Android trojan now steals banking information ( 27 Jun 2023 )
-https://cybersafe.news/anatsa-android-trojan-now-steals-banking-information/
Anatsa Banking Trojan Targeting Users in US, UK, Germany, Austria, and Switzerland ( 27 Jun 2023 )
-https://thehackernews.com/2023/06/anatsa-banking-trojan-targeting-users.html