Anatsa Malware

remote access Trojan Security

Anatsa Malware - продвинутый банковский троян для Android с возможностями RAT и semi-ATS. Он также может выполнять классические оверлей-атаки с целью кражи учетных данных, логирование доступа (перехват всего, что отображается на экране пользователя) и кейлоггинг.

Anatsa Malware

Anatsa использует приложения-дропперы из Google Play. Первый дроппер, маскирующийся под приложение для сканирования документов, обнаружен в июне 2021 года.

Процесс заражения Anatsa выглядит следующим образом: после начала установки из Google Play пользователь вынужден обновить приложение, чтобы продолжить его использование. В этот момент полезная нагрузка Anatsa загружается с сервера(ов) C2 и устанавливается на устройство ничего не подозревающей жертвы.

Злоумышденники позаботились о том, чтобы их приложения выглядели легитимными и полезными. Существует большое количество положительных отзывов о приложениях. Количество установок и наличие отзывов может убедить пользователей Android установить приложение. Более того, эти приложения действительно обладают заявленной функциональностью, после установки они работают нормально и еще больше убеждают жертву в их легитимности.

Несмотря на подавляющее число установок, не каждое устройство, на котором установлены эти дропперы, получит Anatsa, так как злоумышленники постарались нацелиться только на интересующие их регионы.

После успешной загрузки "обновления" у пользователя будет запрошено разрешение на установку приложений из неизвестных источников. Пользователь, предварительно убедившись, что обновление необходимо для нормальной работы приложения, дает разрешение. После завершения установки на устройстве запускается Anatsa и сразу же просит жертву предоставить привилегии Accessibility Service.

После включения Accessibility Service, Anatsa получает полный контроль над устройством и может выполнять действия от имени жертвы. В то же время приложение-дроппер также запущено и работает как легитимное приложение, поэтому жертва, скорее всего, останется ничего не подозревающей.

Indicators of Compromise

IPv4

  • 91.242.229.85
  • 178.63.27.179
  • 195.201.70.88

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Anatsa.

ID Техника CWE Описание Доверие
1 T1505 CWE-89 SQL-инъекция Высокий
2 T1608.002 CWE-434 Неограниченная выгрузка Высокий

 

SEC-1275-1
Добавить комментарий