Skoči na vsebino

Okužbe s trojanskim konjem Anatsa v maju in juniju 2024

Na SI-CERT-u ponovno zaznavamo porast primerov okužb mobilnih naprav z zlonamernimi mobilnimi aplikacijami iz družine Anatsa (tudi Teabot in Toddler).

Škodljive aplikacije napadalcu služijo pri kraji denarja iz bančnih aplikacij, o prvem valu okužb slovenskih žrtev pa smo javnost obveščali že v letošnjem februarju. 

Po poročanju podjetja Zcaler (https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google) sta bili tokrat v trgovini Google Play na voljo za prenos dve škodljivi aplikaciji – “PDF Reader & File Manager” in “QR Reader & File Manager”.

Ikoni zlonamernih aplikacij na trgovini Google Play

PDF Reader & File Manager (ime paketa: com.ultimatefilesviewer.filemanagerwithpdfsupport)

QR Reader & File Manager (ime paketa: com.appandutilitytools.fileqrutility)

Potek napada

Zlonamerna aplikacija ves čas beleži uporabniške klike in vnose ter na napadalčevo zahtevo na kontrolni strežnik periodično pošilja tudi posnetke zaslona.

S sledenjem uporabniške aktivnosti napadalcu omogoča zbiranje žrtvinih osebnih podatkov, med katerimi sta zanj najzanimivejša uporabniško ime in geslo za prijavo v aplikacijo mobilne banke.

Na podlagi prestreženih podatkov ugotovi žrtvin vzorec uporabe naprave in določi časovno okno njene neaktivnosti, v katerem lahko neovirano izvede krajo. Nakazilo običajno opravi v nočnih urah, ko žrtve spijo. 

Škodljiva aplikacija omogoča samodejen prenos, namestitev in zagon orodja za zagotavljanje oddaljenega dostopa, običajno eno izmed storitev Anydesk in TeamViewer, ki napdalcu omogoča poln nadzor nad okuženo napravo.

V večini obravnavanih primerov žrtve poročajo o enakem poteku kraje, v katerem je prvi korak napadalčevo preprečevanje zaklepanja zaslona naprave, saj mu odklenjena naprava omogoča enostavno pridobivanje oddaljenega dostopa.

Ob tem s kontrolnega strežnika pošlje zahtevo za onemogočanje prikaza obvestil prejetih SMS sporočil, s čimer zakrije morebitna obvestila banke o zaznanih sumljivih transakcijah.

Zlonamerne aplikacije družine Anatsa za izvedbo svojih zlonamernih funkcionalnosti zahtevajo pravice storitev dostopnosti (ang. Acessibility Services), zato uporabnikom svetujemo, naj aplikacijam, ki jim ne zaupajo, ne dodeljujejo omenjenih pravic.

Uporabnikom, ki so namestili katero od zlonamernih aplikacij in ji omogočili uporabo storitev dostopnosti, svetujemo izvedbo ukrepov na spodnji povezavi.

Prvo obvestilo in ukrepi po okužbi https://www.cert.si/si-cert-2024-03/.

Podrobnejši tehnični zapis https://www.cert.si/si-cert-tz015/.

Preberite tudi

5 varnostnih nasvetov, ki naj v 2025 gredo v pozabo

Pripravili smo pregled nekaj varnostnih nasvetov, ki naj v 2025 gredo v pozabo, saj gre za prakse, ki več ne ustrezajo sodobnim varnostnim zahtevam.
Več

Kaj nas je naučilo leto 2024?

Iztekajoče leto 2024 so zaznamovali tako odmevnejši kibernetski napadi na velike organizacije, ki so pritegnili veliko medijske pozornosti, kot tudi veliko število incidentov v manjših podjetjih, predvsem prevar z vrivanjem v poslovno komunikacijo (t.i. BEC prevara) in okužb z zlonamerno kodo (t.i. infostealers). 
Več

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA je v partnerstvu s SI-CERT organizirala prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek je 27. novembra 2024, v Klubu Cankarjevega doma, gostil …
Več