De Android-banktrojan bekend als Anatsa heeft zijn focus uitgebreid naar Slowakije, Slovenië en Tsjechië als onderdeel van een nieuwe campagne die in november 2023 werd waargenomen.
“Sommige droppers in de campagne hebben met succes misbruik gemaakt van de toegankelijkheidsservice, ondanks de verbeterde detectie- en beschermingsmechanismen van Google Play”, aldus ThreatFabric in een rapport gedeeld met The Hacker News.
“Alle droppers in deze campagne hebben de mogelijkheid aangetoond om de beperkte instellingen voor de toegankelijkheidsservice in Android 13 te omzeilen.” Bij de campagne zijn in totaal vijf droppers betrokken met in totaal meer dan 100.000 installaties.
Anatsa, ook bekend onder de naam TeaBot en Toddler, staat erom bekend dat het wordt gedistribueerd onder het mom van schijnbaar onschadelijke apps in de Google Play Store. Deze apps, droppers genoemd, vergemakkelijken de installatie van de malware door de door Google opgelegde beveiligingsmaatregelen die gevoelige toestemmingen willen verlenen, te omzeilen.
In juni 2023 maakte het Nederlandse mobiele beveiligingsbedrijf een Anatsa-campagne bekend die zich in ieder geval sinds maart 2023 richtte op bankklanten in de VS, het VK, Duitsland, Oostenrijk en Zwitserland, met behulp van dropper-apps die gezamenlijk meer dan 30.000 keer zijn gedownload in de Play Store.
Anatsa is uitgerust met mogelijkheden om volledige controle te krijgen over geïnfecteerde apparaten en acties uit te voeren namens het slachtoffer. Het kan ook inloggegevens stelen om frauduleuze transacties te initiëren.
De laatste iteratie die in november 2023 werd waargenomen, is niet anders, in die zin dat een van de droppers zich voordeed als een app voor het opschonen van telefoons genaamd “Phone Cleaner – File Explorer” (pakketnaam “com.volabs.androidcleaner”) en gebruik maakte van een techniek genaamd versiebeheer om zijn kwaadaardig gedrag.
Hoewel de app niet langer kan worden gedownload via de officiële storefront voor Android, kan deze nog steeds worden gedownload via andere vage bronnen van derden.
Volgens statistieken die beschikbaar zijn op het app-intelligentieplatform AppBrain, is de app naar schatting ongeveer 12.000 keer gedownload in de tijd dat deze beschikbaar was in de Google Play Store tussen 13 en 27 november, toen de publicatie nog niet was voltooid.
“Aanvankelijk leek de app onschadelijk, zonder kwaadaardige code en de toegankelijkheidsdienst ontplooide geen schadelijke activiteiten”, aldus ThreatFabric-onderzoekers.
“Een week na de release introduceerde een update echter kwaadaardige code. Deze update veranderde de AccessibilityService-functionaliteit, waardoor deze kwaadaardige acties kon uitvoeren, zoals het automatisch klikken op knoppen zodra het een configuratie ontving van de [command-and-control] server.”
Wat de dropper opmerkelijk maakt, is dat het misbruik van de toegankelijkheidsservice is toegesneden op Samsung-apparaten, wat erop wijst dat deze ooit is ontworpen om zich exclusief te richten op door het bedrijf gemaakte handsets, hoewel andere droppers die in de campagne zijn gebruikt, fabrikantonafhankelijk blijken te zijn. .
De droppers zijn ook in staat de beperkte instellingen van Android 13 te omzeilen door het proces na te bootsen dat door marktplaatsen wordt gebruikt om nieuwe applicaties te installeren zonder dat hun toegang tot de functionaliteiten van de toegankelijkheidsservice is uitgeschakeld, zoals eerder waargenomen in het geval van dropper-services zoals SecuriDropper.
“Deze actoren geven de voorkeur aan geconcentreerde aanvallen op specifieke regio’s boven een mondiale verspreiding, waarbij ze periodiek hun focus verleggen”, aldus ThreatFabric. “Door deze gerichte aanpak kunnen zij zich concentreren op een beperkt aantal financiële organisaties, wat in korte tijd tot een groot aantal fraudegevallen leidt.”
De ontwikkeling komt terwijl Fortinet FortiGuard Labs een andere campagne heeft uitgewerkt die de SpyNote trojan voor externe toegang distribueert door een legitieme, in Singapore gevestigde cryptocurrency portemonnee-service, bekend als imToken, te imiteren om bestemmingsportefeuilleadressen te vervangen en door door actoren gecontroleerde adressen en illegale activaoverdrachten uit te voeren.
“Net als veel hedendaagse Android-malware maakt deze malware misbruik van de toegankelijkheids-API”, zegt beveiligingsonderzoeker Axelle Apvrille. “Dit SpyNote-voorbeeld gebruikt de Accessibility API om beroemde crypto-wallets te targeten.”
