Skoči na vsebino

Okužbe s trojanskim konjem Anatsa v maju in juniju 2024

Na SI-CERT-u ponovno zaznavamo porast primerov okužb mobilnih naprav z zlonamernimi mobilnimi aplikacijami iz družine Anatsa (tudi Teabot in Toddler).

Škodljive aplikacije napadalcu služijo pri kraji denarja iz bančnih aplikacij, o prvem valu okužb slovenskih žrtev pa smo javnost obveščali že v letošnjem februarju. 

Po poročanju podjetja Zcaler (https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google) sta bili tokrat v trgovini Google Play na voljo za prenos dve škodljivi aplikaciji – “PDF Reader & File Manager” in “QR Reader & File Manager”.

Ikoni zlonamernih aplikacij na trgovini Google Play

PDF Reader & File Manager (ime paketa: com.ultimatefilesviewer.filemanagerwithpdfsupport)

QR Reader & File Manager (ime paketa: com.appandutilitytools.fileqrutility)

Potek napada

Zlonamerna aplikacija ves čas beleži uporabniške klike in vnose ter na napadalčevo zahtevo na kontrolni strežnik periodično pošilja tudi posnetke zaslona.

S sledenjem uporabniške aktivnosti napadalcu omogoča zbiranje žrtvinih osebnih podatkov, med katerimi sta zanj najzanimivejša uporabniško ime in geslo za prijavo v aplikacijo mobilne banke.

Na podlagi prestreženih podatkov ugotovi žrtvin vzorec uporabe naprave in določi časovno okno njene neaktivnosti, v katerem lahko neovirano izvede krajo. Nakazilo običajno opravi v nočnih urah, ko žrtve spijo. 

Škodljiva aplikacija omogoča samodejen prenos, namestitev in zagon orodja za zagotavljanje oddaljenega dostopa, običajno eno izmed storitev Anydesk in TeamViewer, ki napdalcu omogoča poln nadzor nad okuženo napravo.

V večini obravnavanih primerov žrtve poročajo o enakem poteku kraje, v katerem je prvi korak napadalčevo preprečevanje zaklepanja zaslona naprave, saj mu odklenjena naprava omogoča enostavno pridobivanje oddaljenega dostopa.

Ob tem s kontrolnega strežnika pošlje zahtevo za onemogočanje prikaza obvestil prejetih SMS sporočil, s čimer zakrije morebitna obvestila banke o zaznanih sumljivih transakcijah.

Zlonamerne aplikacije družine Anatsa za izvedbo svojih zlonamernih funkcionalnosti zahtevajo pravice storitev dostopnosti (ang. Acessibility Services), zato uporabnikom svetujemo, naj aplikacijam, ki jim ne zaupajo, ne dodeljujejo omenjenih pravic.

Uporabnikom, ki so namestili katero od zlonamernih aplikacij in ji omogočili uporabo storitev dostopnosti, svetujemo izvedbo ukrepov na spodnji povezavi.

Prvo obvestilo in ukrepi po okužbi https://www.cert.si/si-cert-2024-03/.

Podrobnejši tehnični zapis https://www.cert.si/si-cert-tz015/.

Preberite tudi

Spletni seminar Kibernetska varnost za spletne trgovce

Na SI-CERT-u v letošnjem letu načrtujemo serijo šestih spletnih seminarjev, ki bodo naslavljali konkretne kibernetske incidente in grožnje, ki vidimo, da predstavljajo izziv slovenskim podjetjem in posameznikom. Prvi spletni seminar …
Več

Kibernetska varnost 2024 v številkah

Kaj kaže pogled na statistiko SI-CERT za leto 2024 in katere trende smo opazili na področju kibernetske varnosti?
Več

Začetek projekta INTERCEPT za krepitev čezmejnega sodelovanja na področju kibernetske varnosti

Predstavniki petih partnerskih organizacij so se zbrali na dvodnevnem dogodku, da bi postavili temelje za razvoj skupne platforme za deljenje groženj (TSP). Gre za pobudo, katere cilj je izboljšati čezmejno odkrivanje in odzivanje na kibernetske grožnje.
Več