Die Sicherheitsexperten von Mobile Threat Intelligence (MTI) haben auf die aktuelle Bedrohung durch den Banking-Trojaner Anatsa hingewiesen. Dieser kann sich über Apps aus dem Google App Store einschleichen.
Banking-Trojaner Anatsa kehr zurück
Im Google Play Store tauchen immer wieder mobile Apps mit dem Anatsa-Banking-Trojaner auf, die Verbraucher in verschiedenen Ländern angreifen. - Quelle: Shutterstock.com
Im November 2023 stellte das MTI-Team ein Wiederaufleben der Banking-Trojaner-Kampagne Anatsa fest, was einen deutlichen Wandel seit dem letzten Update im Juni 2023 darstellt. In wenigen Monaten wurden fünf verschiedene Wellen dieser Kampagne beobachtet: Jede konzentrierte sich auf unterschiedliche Regionen. Während Anatsa zuvor auf Großbritannien, Deutschland und Spanien abzielte, markiert die Expansion in die Slowakei, Slowenien und Tschechien eine neue Phase seiner operativen Strategie.
Trojaner schleicht sich über Dropper-Apps aus dem Google Play Store ein
Die MTI-Analyse zeigt, dass die Aktivitäten von Anatsa als „gezielt“ eingestuft werden können, wobei sich die Bedrohungsakteure jeweils auf drei bis fünf Regionen konzentrieren und in diesen spezifischen Bereichen Dropper-Anwendungen auf Google Play bewerben. Diese Apps erreichen oft die Top 3 in der Kategorie „Top New Free“, was ihre Glaubwürdigkeit erhöht, die Aufmerksamkeit potenzieller Opfer verringert und gleichzeitig die Chancen einer erfolgreichen Infiltration erhöht. Im Laufe dieser Kampagne hat sich der Modus Operandi von Anatsa weiterentwickelt und zeigt ausgefeiltere Taktiken. So versteckte sich der schädliche Trojaner beispielsweise in einer Cleaning-App, mit der arglose Nutzer ihre Dateien auf dem Smartphone ausmisten wollen.
Vorsicht vor ausgefeilter Malware
Einige der Dropper-Apps in der Kampagne nutzten den AccessibilityService trotz der verbesserten Erkennungs- und Schutzmechanismen von Google Play erfolgreich aus. Um einer Entdeckung zu entgehen, nutzten alle Dropper einen mehrstufigen Ansatz, indem sie Konfigurations- und bösartige ausführbare Dateien dynamisch von ihrem Command-and-Control-Server (C2) herunterluden, sodass die Bedrohungsakteure sie nach Bedarf ändern konnten. Wie in früheren Blogs berichtet, haben alle Dropper in dieser Kampagne die Fähigkeit demonstriert, die eingeschränkten Einstellungen für AccessibilityService in Android 13 zu umgehen.
Neue Angriffe erwartet
Laut dem MTI-Bericht umfasst die aktuelle Kampagne fünf Dropper-Apps mit über 100.000 Gesamtinstallationen. Jede Installation birgt ein potenzielles Risiko für die Anatsa-Installation und den anschließenden Betrug. Im Vergleich dazu umfasste die vorherige Kampagne im ersten Halbjahr 2023 sechs verschiedene Dropper, was insgesamt über 130.000 Installationen ergab. Basierend auf diesem Muster erwarten die Sicherheitsexperten die Fortsetzung dieser Kampagne mit dem Erscheinen neuer Dropper im offiziellen Google Play Store und einer Ausweitung auf weitere Zielregionen.
Anatsa ist ein Banking-Trojaner mit Device Takeover (DTO)-Funktionen, der die vollständige Kontrolle über ein infiziertes Gerät erlangen und im Namen eines Opfers Aktionen ausführen kann. Finanzinstitute sollten ihre Kunden dringend über die Risiken der Installation von Anwendungen, auch aus offiziellen Stores, aufklären und davor warnen, AccessibilityService für Apps zu aktivieren, die es für ihren eigentlichen Betrieb nicht benötigen.
