Anatsa Malware - продвинутый банковский троян для Android с возможностями RAT и semi-ATS. Он также может выполнять классические оверлей-атаки с целью кражи учетных данных, логирование доступа (перехват всего, что отображается на экране пользователя) и кейлоггинг.
Anatsa Malware
Anatsa использует приложения-дропперы из Google Play. Первый дроппер, маскирующийся под приложение для сканирования документов, обнаружен в июне 2021 года.
Процесс заражения Anatsa выглядит следующим образом: после начала установки из Google Play пользователь вынужден обновить приложение, чтобы продолжить его использование. В этот момент полезная нагрузка Anatsa загружается с сервера(ов) C2 и устанавливается на устройство ничего не подозревающей жертвы.
Злоумышденники позаботились о том, чтобы их приложения выглядели легитимными и полезными. Существует большое количество положительных отзывов о приложениях. Количество установок и наличие отзывов может убедить пользователей Android установить приложение. Более того, эти приложения действительно обладают заявленной функциональностью, после установки они работают нормально и еще больше убеждают жертву в их легитимности.
Несмотря на подавляющее число установок, не каждое устройство, на котором установлены эти дропперы, получит Anatsa, так как злоумышленники постарались нацелиться только на интересующие их регионы.
После успешной загрузки "обновления" у пользователя будет запрошено разрешение на установку приложений из неизвестных источников. Пользователь, предварительно убедившись, что обновление необходимо для нормальной работы приложения, дает разрешение. После завершения установки на устройстве запускается Anatsa и сразу же просит жертву предоставить привилегии Accessibility Service.
После включения Accessibility Service, Anatsa получает полный контроль над устройством и может выполнять действия от имени жертвы. В то же время приложение-дроппер также запущено и работает как легитимное приложение, поэтому жертва, скорее всего, останется ничего не подозревающей.
Indicators of Compromise
IPv4
- 91.242.229.85
- 178.63.27.179
- 195.201.70.88
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Anatsa.
ID | Техника | CWE | Описание | Доверие |
1 | T1505 | CWE-89 | SQL-инъекция | Высокий |
2 | T1608.002 | CWE-434 | Неограниченная выгрузка | Высокий |