По состоянию на март 2023 года аналитики ThreatFabric, специализирующиеся на кибермошенничестве, отслеживали многочисленные продолжающиеся кампании дропперов Google Play Store, поставляющих банковский троян Anatsa для Android, с более чем 30 000 установок. Субъекты угроз, стоящие за этой новой волной Anatsa, проявляли интерес к новым учреждениям из США, Великобритании и региона DACH.
Все началось в начале марта 2023 года, когда ThreatFabric обнаружила начало новой кампании Anatsa после примерно полугодового перерыва. Аналитики ThreatFabric смогли обнаружить в Google Play Store приложение-дроппер, используемое для доставки Anatsa на зараженные устройства и выдающее себя за приложение для чтения PDF-файлов.
После установки такое приложение делало запрос на страницу, размещенную на GitHub, где дроппер получал URL-адрес для загрузки полезной нагрузки. Полезная нагрузка маскировалась под дополнение к оригинальному приложению.
Indicators of Compromise
SHA256
- 128820e1c5d62523f675042da9d1e11af3191217afe308bcc17e51ad8c2ece03
- 3740e6b4d259efe6a72f503429fb67db96363935a29f7428ccab5b78fa9bee73
- 7231546ee377738cbe9075791eb6e76b7bc163c1b91831e05e81b4756fff4028
- db7df65f2699817fa3ebfb3ebef106a3801a96b9da1ba6d88e727a253ae34da6
- ecce34c0ba83120ccf1f8e1640cd867fbfeb490dbc8a41d1cf8c577d508819c3