Anatsa (còn được gọi là “Teabot”) nhắm đến hơn 650 ứng dụng của các tổ chức tài chính ở Châu Âu, Mỹ, Anh và Châu Á. Nó có khả năng đánh cắp thông tin đăng nhập ngân hàng trực tuyến (e-banking) của người dùng để thực hiện các giao dịch lừa đảo.
Vào tháng 2 năm 2024, Threat Fabric đã báo cáo rằng kể từ cuối năm ngoái, Anatsa đã đạt được ít nhất 150.000 ca lây nhiễm thông qua Google Play bằng cách sử dụng nhiều ứng dụng mồi nhử khác nhau trong danh mục phần mềm năng suất.
Gần đây, Zscaler đưa tin Anatsa đã xuất hiện trở lại trên kho ứng dụng chính thức của Android và hiện đang được lan truyền thông qua hai ứng dụng mồi nhử: “PDF Reader & File Manager” và “QR Reader & File Manager”.
Tại thời điểm Zscaler phân tích, hai ứng dụng này có 70.000 lượt cài đặt, cho thấy nguy cơ cao bị các phần mềm độc hại (ứng dụng được thiết kế để triển khai các ứng dụng khác sau khi cài đặt) bỏ qua quy trình này. Kiểm tra Google.
Một điều giúp những kẻ nhỏ giọt Anatsa không bị phát hiện là cơ chế tải xuống tải trọng nhiều giai đoạn (tệp độc hại), bao gồm bốn bước:
– Dropper lấy cấu hình và thông tin cần thiết từ máy chủ kiểm soát tấn công
– Một tệp DEX chứa dropper độc hại được tải xuống và kích hoạt trên thiết bị
– Tệp cấu hình có URL tải trọng Anatsa được tải xuống
– Tệp DEX tải xuống và cài đặt tải trọng phần mềm độc hại (APK), hoàn tất quá trình lây nhiễm
Tệp DEX cũng thực hiện kiểm tra để đảm bảo phần mềm độc hại sẽ không được thực thi trong hộp cát hoặc môi trường mô phỏng.
Khi Anatsa thiết lập và chạy trên thiết bị mới bị nhiễm, nó sẽ tải lên cấu hình bot và kết quả quét ứng dụng, sau đó tải xuống các thành phần bổ sung tùy thuộc vào vị trí và thông tin của nạn nhân.
Các mối đe dọa khác trên Google Play
Zscaler báo cáo rằng trong vài tháng qua, họ đã phát hiện hơn 90 ứng dụng độc hại trên Google Play, với tổng số lượt cài đặt là 5,5 triệu lần.
Hầu hết các ứng dụng độc hại đều mạo danh các công cụ, ứng dụng cá nhân hóa, ứng dụng chụp ảnh, ứng dụng năng suất cũng như ứng dụng sức khỏe & thể dục.
Năm họ phần mềm độc hại phổ biến là Joker, Facestealer, Anatsa, Coper và nhiều phần mềm quảng cáo khác nhau.
Mặc dù Anatsa và Coper chỉ chiếm 3% tổng số lượt tải xuống độc hại từ Google Play nhưng chúng nguy hiểm hơn nhiều so với các ứng dụng khác, có khả năng thực hiện lừa đảo trên thiết bị và đánh cắp thông tin nhạy cảm.
Khi cài đặt ứng dụng mới trên Google Play, bạn nên lưu ý các quyền được yêu cầu và từ chối các quyền liên quan đến các hoạt động có rủi ro cao như dịch vụ trợ năng, SMS và danh bạ.
Các nhà nghiên cứu không tiết lộ tên của hơn 90 ứng dụng và liệu chúng có bị báo cáo cho Google để xóa hay không. Tuy nhiên, hai ứng dụng phân phối Anatsa được Zscaler phát hiện đã bị xóa khỏi Google Play.
Link nguồn: https://cafef.vn/hon-90-ung-dung-android-doc-hai-voi-55-trieu-luot-cai-dat-da-duoc-phat-hien-tren-google-play-188240530134757241.chn