В лаборатории Zscaler ThreatLabz было обнаружено увеличение использования вредоносной программы Anatsa (также известной как TeaBot) в магазине Google Play. Эта сложная вредоносная программа использует приложения-дропперы, которые устанавливают вредоносную полезную нагрузку, перехватывающую банковские реквизиты и финансовую информацию.
Злоумышленники использовали приложения-приманки, такие как программы для чтения PDF-файлов и QR-кодов, чтобы распространять вредоносное ПО. Они также применяют различные техники, чтобы избежать обнаружения, включая проверку виртуальных сред и эмуляторов. Anatsa активно атаковала банковские приложения в США, Великобритании, Германии, Испании, Финляндии, Южной Корее и Сингапуре. Anatsa использует технику дроппера, чтобы обмануть жертву и загрузить вредоносное ПО с командно-контрольного сервера, замаскированного под обновление приложения. Вредоносные приложения, замаскированные под файловые менеджеры, редакторы и другие инструменты, часто использовались для распространения Anatsa в магазине Google Play. Технический анализ показал, что Anatsa загружает полезную нагрузку с удаленных серверов и использует отражение для вызова кода из загруженных файлов.
Indicators of Compromise
URLs
- http://185.215.113.31:85/api
- http://91.215.85.55:85/api/
- https://becorist.com/juranfile
- https://becorist.com/trani
- https://menusand.com/86.apk
- https://menusand.com/hanihani
- https://menusand.com/pdffile
MD5
- 36089c60ce1bfc975c3b561abb67f0de
- 718659f464c3231dc0eeeacfdcbdfa74
- 7c6f2ccd081b383c2a4924eb4c793d71
- cb02f9e5a5671e3f13bc26d3017b8632
