Bankarski trojanac Anubis se vratio moćniji nego ikad i sada cilja skoro 400 finansijskih aplikacija

Mobilni telefoni, 15.12.2021, 11:00 AM

Bankarski trojanac Anubis se vratio moćniji nego ikad i sada cilja skoro 400 finansijskih aplikacija

Bankarski trojanac za Android, Anubis, sada cilja korisnike skoro 400 finansijskih aplikacija, upozorila je kompanija Lookout čiji su istraživači primetili kampanju nove verzije Anubisa.

Meta napada su aplikacije banaka, novčanici za kriptovalute i virtuelne platforme za plaćanje, a napadači koriste lažnu aplikaciju najveeće francuske telekomunikacione kompanije Orange S.A. za krađu akreditiva za prijavu.

Istraživači iz Lookouta kažu da je zlonamerna kampanja još uvek u fazi testiranja i optimizacije.

Anubis se prvi put pojavio na ruskim hakerskim forumima 2016. godine, kao bankarski trojanac otvorenog koda sa uputstvima za implementaciju.

U godinama koje su usledile, rad na razvoju Anubisa je nastavljen, a njegov kod se i dalje otvoreno delio među sajber kriminalcima.

2019., malveru je dodato nešto što je izgledalo kao skoro funkcionalni modul ransomwarea a te godine našao se i u Google Play prodavnici sakriven u lažnim aplikacijama.

Prošle godine Anubis se vratio kroz velike fišing kampanje, ciljajući 250 aplikacija za kupovinu i bankarstvo.

Anubis prikazuje lažne obrasce za prijavljivanje kada korisnici otvore aplikacije za ciljane platforme. Ovaj lažni obrazac će biti prikazan preko ekrana za prijavu prave aplikacije pa kada žrtve unesu korisničko ime i lozinku, oni će biti poslati napadačima.

Nova verzija malvera cilja 394 aplikacije, a između ostalog, ona može da snima aktivnosti na ekranu i zvuk sa mikrofona, pravi snimke ekrana, šalje SMS poruke sa zaraženog uređaja određenim kontaktima, može da preuzme kontakte sa uređaja, šalje, čita, briše i blokira obaveštenja za SMS poruke, skenira uređaj kako bi pronašao fajlove koji su od interesa za napadače, blokira ekran uređaja i prikaže poruku sa zahtevom za otkupninu, pošalje USSD kod da bi dobio stanje na bankovnom računu, snima GPS podatke, nadgleda aktivne aplikacije, i na kraju, da sam zaustavi zlonamerne aktivnosti i deinstalira se sa uređaja.

Kao i ranije verzije, i najnovija proverava da li je na kompromitovanom uređaju omogućen Google Play Protect i ako jeste, prikazuje lažno sistemsko upozorenje da bi prevario korisnika da onemogući zaštitu. Deaktivacija Google Play Protecta omogućava malveru potpuni pristup uređaju i slobodu da šalje i prima podatke sa C2 bez ikakvih smetnji.

Sajber kriminalci koji stoje iza ove kampanije pokušali su da poture lažnu aplikaciju „fr.orange.serviceapp“ u Google Play, u julu ove godine, ali je aplikacija odbijena. Istraživači misle da je ovo bio samo pokušaj da se testiraju Googleovi detektori malvera.

Distribucija lažne aplikacije Orange trenutno se odvija preko zlonamernih veb sajtova, poruka na društvenim mrežama, SMS poruka i objava na forumu.

Nema konkretnih informacija o tome ko trenutno distribuira Anubis, jer su sajber kriminalci bili dovoljno oprezni da sakriju svoje tragove prilikom registracije C2 infrastrukture. S obzirom na to da Anubisov kod kruži brojnim hakerskim forumima, broj onih koji ga koriste je veliki.




Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Istraživači iz firme ThreatFabric primetili su na Google Play pet aplikacija koje je preuzelo više od 150.000 korisnika koji su na taj način infic... Dalje

Android malver XLoader se širi preko SMS poruka

Android malver XLoader se širi preko SMS poruka

Istraživači iz kompanije McAfee otkrili su novu verziju Android malvera XLoader koji se širi uglavnom putem SMS poruka koje sadrže skraćeni URL k... Dalje

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

U Apple App Storeu pojavila se lažna aplikacija LassPass za koju se pretpostavlja da se koristi kao aplikacija za krađu lozinki korisnika. Kompanija... Dalje

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google pokreće pilot program za borbu protiv finansijskih prevara blokiranjem bočnog učitavanja Android APK fajlova koji zahtevaju pristup rizični... Dalje