توزیع‌ بدافزار Anatsa از طریق‌ گوگل‌پلی‌

بر اساس اخبار منتشر شده، در سلسله‌ حملات جدید سایبری‌، یک‌ تروجان اندرویدی‌ و بانکی‌ به‌ نام Anatsa توزیع‌ می‌شود؛ این‌ بدافزار، مؤسسات مالی‌ در آمریکا، بریتانیا و کشورهای‌ آلمانی‌ زبان را هدف قرار داده است‌. هدف توسعه‌دهندگان این‌ بدافزار، سرقت‌ اطلاعات اعتبارنامه‌های‌ کاربران از طریق‌ مجوزدهی‌ به‌ ایشان در اپلیکیشن‌های‌ بانکی‌ و در ادامه‌ دخیل‌ کردن ایشان در کلاه­برداری‌های‌ DTO به‌ منظور شروع تراکنش‌های‌ کلاه­بردارانه‌ می‌باشد. گفته‌ شده تیم‌های‌ هکری‌ در حال توزیع‌ این‌ بدافزار از طریق‌ فروشگاه گوگل‌ پلی‌ می‌ باشند و این‌ بدافزار تاکنون بیش‌ از ٣٠ هزار بار دانلود و نصب‌ شده است‌.

تمرکز این‌ حملات، بر روی‌ بانک‌های‌ بریتانیایی‌، آمریکا و کشورهای‌ آلمانی‌ زبان می‌باشد؛ فهرست‌ اهداف این‌ بدافزار، حاوی‌ تقریباً ٦٠٠ اپلیکیشن‌ مالی‌ از سراسر جهان می‌باشد. فعالیت‌های‌ Anatsa از ابتدای‌ سال ٢٠٢٠ که‌ برای‌ نخستین‌ بار کشف‌ شد، در حال رصد توسط‌ محققان امنیتی‌ می‌باشد؛ در حملات اخیر، سیاست‌ بدافزار مورد بحث‌، هدف قراردادن بانک‌های‌ آلمانی‌ زبان در کشورهای‌ حوزه DACH (شامل‌ کشورهای‌ آلمان، سوئیس‌ و اتریش‌) می‌ باشد. بر اساس گزارشات منتشر شده، اخیراً و با اجرای‌ Dropper جدید ا ین‌ بدافزار، تعداد اپلیکیشن‌ بانکی‌ آلمانی‌، به‌ فهرست‌ حملات Overlay آن اضافه‌ شده­اند. به‌ طور مشابه‌ و در مقایسه‌ با ماه آگوست‌ سال گذشته‌ میلادی‌، بیش‌ از ٩٠ اپلیکیشن‌ هدف به‌ این‌ فهرست‌ افزوده شده­اند.

اهدافی‌ از کشورهای‌ کره جنوبی‌، آلمان، اسپانیا، فنلاند و سنگاپور را به‌ فهرست‌ مزبور اضافه‌ کرده است‌. در طول حملات قبلی‌ Anatsa در ماه نوامبر سال ٢٠٢١، نرم­افزارهای‌ مخرب بیش‌ از ٣٠٠ هزار بار دانلود و نصب‌ شده بودند؛ در آن زمان، بدافزار مزبور در قالب‌ نرم­افزارهای‌ اسکن‌ PDF و .... منتشر شده بودند.گفته‌ شده بدافزار تحت‌ پوشش‌ نرم ­افزارهای‌ مجموعه‌ آفیس‌، مشاهده فایل‌های‌ PDF و نیز ابزارهای‌ ویرایش‌، توزیع‌ شده است‌. در حال حاضر شرکت‌ گوگل‌ این‌ نرم­افزارها را از گوگل‌پلی‌ حذف نموده است‌ ولی‌ مهاجمان باز هم‌ با بارگذاری‌ یک‌ Dropper جدید، وارد گوگل‌پلی‌ شده­اند.

 پیش‌ از انتشار نسخه‌ آلوده و مخرب نرم­افزارهای‌ مربوطه‌، نسخه‌ عادی‌ آنها در گوگل‌پلی‌ بارگذاری‌ شده بوده که‌ با ارائه‌ به‌روزرسانی‌، قابلیت‌های‌ مخرب به‌ آنها اضافه‌ گردیده است‌ که‌ این‌ اقدام، به‌ منظور دور زدن فرآیند بررسی‌ کد گوگل‌ انجام شده است‌. زمانی‌ که‌ دستگاه هدف به‌ Antasa آلوده می‌شود، این‌ بدافزار قادر به‌ جمع‌آوری‌ اطلاعات حساس از جمله‌ اعتبارنامه‌ها، اطلاعات کارت­های‌ اعتباری‌ و.... از طریق‌ حملات Overlay و Keylogging می‌باشد. گفته‌ شده با توجه‌ به‌ این‌ که‌ تراکنش‌ها از همان دستگاهی‌ شروع می‌شوند که‌ به‌ صورت مستمر توسط‌ کاربر قربانی‌ استفاده می‌شود، شناسایی‌ بدافزار مزبور توسط‌ ساز و کارهای‌ ضد تقلب‌ بانک‌ها، دشوار خواهد بود.

منبع : ماهنامه تیرماه بانک مرکزی