Bankarski trojanac Anubis se vratio moćniji nego ikad i sada cilja skoro 400 finansijskih aplikacija

Mobilni telefoni, 15.12.2021, 11:00 AM

Bankarski trojanac za Android, Anubis, sada cilja korisnike skoro 400 finansijskih aplikacija, upozorila je kompanija Lookout čiji su istraživači primetili kampanju nove verzije Anubisa.

Meta napada su aplikacije banaka, novčanici za kriptovalute i virtuelne platforme za plaćanje, a napadači koriste lažnu aplikaciju najveeće francuske telekomunikacione kompanije Orange S.A. za krađu akreditiva za prijavu.

Istraživači iz Lookouta kažu da je zlonamerna kampanja još uvek u fazi testiranja i optimizacije.

Anubis se prvi put pojavio na ruskim hakerskim forumima 2016. godine, kao bankarski trojanac otvorenog koda sa uputstvima za implementaciju.

U godinama koje su usledile, rad na razvoju Anubisa je nastavljen, a njegov kod se i dalje otvoreno delio među sajber kriminalcima.

2019., malveru je dodato nešto što je izgledalo kao skoro funkcionalni modul ransomwarea a te godine našao se i u Google Play prodavnici sakriven u lažnim aplikacijama.

Prošle godine Anubis se vratio kroz velike fišing kampanje, ciljajući 250 aplikacija za kupovinu i bankarstvo.

Anubis prikazuje lažne obrasce za prijavljivanje kada korisnici otvore aplikacije za ciljane platforme. Ovaj lažni obrazac će biti prikazan preko ekrana za prijavu prave aplikacije pa kada žrtve unesu korisničko ime i lozinku, oni će biti poslati napadačima.

Nova verzija malvera cilja 394 aplikacije, a između ostalog, ona može da snima aktivnosti na ekranu i zvuk sa mikrofona, pravi snimke ekrana, šalje SMS poruke sa zaraženog uređaja određenim kontaktima, može da preuzme kontakte sa uređaja, šalje, čita, briše i blokira obaveštenja za SMS poruke, skenira uređaj kako bi pronašao fajlove koji su od interesa za napadače, blokira ekran uređaja i prikaže poruku sa zahtevom za otkupninu, pošalje USSD kod da bi dobio stanje na bankovnom računu, snima GPS podatke, nadgleda aktivne aplikacije, i na kraju, da sam zaustavi zlonamerne aktivnosti i deinstalira se sa uređaja.

Kao i ranije verzije, i najnovija proverava da li je na kompromitovanom uređaju omogućen Google Play Protect i ako jeste, prikazuje lažno sistemsko upozorenje da bi prevario korisnika da onemogući zaštitu. Deaktivacija Google Play Protecta omogućava malveru potpuni pristup uređaju i slobodu da šalje i prima podatke sa C2 bez ikakvih smetnji.

Sajber kriminalci koji stoje iza ove kampanije pokušali su da poture lažnu aplikaciju „fr.orange.serviceapp“ u Google Play, u julu ove godine, ali je aplikacija odbijena. Istraživači misle da je ovo bio samo pokušaj da se testiraju Googleovi detektori malvera.

Distribucija lažne aplikacije Orange trenutno se odvija preko zlonamernih veb sajtova, poruka na društvenim mrežama, SMS poruka i objava na forumu.

Nema konkretnih informacija o tome ko trenutno distribuira Anubis, jer su sajber kriminalci bili dovoljno oprezni da sakriju svoje tragove prilikom registracije C2 infrastrukture. S obzirom na to da Anubisov kod kruži brojnim hakerskim forumima, broj onih koji ga koriste je veliki.