Anatsa Banking Trojan telah menyelinap ke Google Play sekali lagi melalui aplikasi yang menyamar sebagai pemirsa PDF yang menghitung lebih dari 50.000 unduhan.
Malware menjadi aktif di perangkat segera setelah menginstal aplikasi, melacak pengguna yang meluncurkan aplikasi perbankan Amerika Utara dan melayani mereka overlay yang memungkinkan mengakses akun, keylogging, atau transaksi mengotomatisasi.
Menurut Peneliti kain ancaman Siapa yang melihat kampanye terbaru dan melaporkannya ke Google, Anatsa menunjukkan kepada pengguna pesan palsu ketika mereka membuka aplikasi yang ditargetkan, menginformasikan pemeliharaan sistem perbankan yang dijadwalkan.
Pemberitahuan ini ditampilkan di atas UI aplikasi perbankan, mengaburkan aktivitas malware di latar belakang dan mencegah korban menghubungi bank mereka atau memeriksa akun mereka untuk transaksi yang tidak sah.
Ancaman kain telah melacak Anatsa di Google Play selama bertahun -tahun, mengungkap beberapa infiltrasi di bawah alat utilitas dan produktivitas palsu atau trojanis.
Kampanye yang ditemukan pada November 2021 dicapai 300.000 unduhanyang lain terpapar pada Juni 2023 30.000 unduhandan satu lagi diungkapkan pada bulan Februari 2024 tercapai 150.000 unduhan.
Pada bulan Mei 2024, perusahaan keamanan seluler Zscaler melaporkan bahwa Anatsa telah mencapai infiltrasi lain di toko aplikasi resmi Android, dengan dua aplikasi berpose sebagai pembaca PDF dan pembaca QR, secara kolektif mengumpulkan 70.000 unduhan.
Aplikasi Anatsa yang diancam oleh kain ancaman di Google Play kali ini adalah ‘Document Viewer – File Reader,’ yang diterbitkan oleh ‘Hybrid Cars Simulator, Drift & Racing.’
Sumber: Ancaman Fabric
Para peneliti melaporkan bahwa aplikasi ini mengikuti operator Anatsa taktik yang licik juga dalam kasus sebelumnya, di mana mereka menjaga aplikasi “bersih” sampai mendapatkan basis pengguna yang substansial.
Setelah aplikasi menjadi cukup populer, mereka memperkenalkan kode berbahaya melalui pembaruan yang mengambil muatan Anatsa dari server jarak jauh dan menginstalnya sebagai aplikasi terpisah.
Kemudian, Anatsa terhubung ke perintah-dan-kontrol (C2) dan menerima daftar aplikasi yang ditargetkan untuk dipantau pada perangkat yang terinfeksi.
Aplikasi Anatsa terbaru mengirimkan Trojan antara 24 dan 30 Juni, enam minggu setelah rilis awal di toko.
Google telah menghapus aplikasi jahat dari toko.
Jika Anda menginstal aplikasi, disarankan agar Anda segera menghapusnya, jalankan pemindaian sistem penuh menggunakan Play Protect, dan atur ulang kredensial rekening perbankan Anda.
Anatsa secara berkala menemukan cara untuk menyusup ke Google Play, sehingga pengguna hanya boleh mempercayai aplikasi dari penerbit terkemuka, memeriksa ulasan pengguna, memperhatikan izin yang diminta, dan menjaga jumlah aplikasi yang diinstal di perangkat Anda di minimum yang diperlukan.
Perbarui 7/8 – Seorang juru bicara Google mengirim BleepingComputer komentar berikut:
“Semua aplikasi berbahaya yang diidentifikasi ini telah dihapus dari Google Play. Pengguna secara otomatis dilindungi oleh Google Play Protect, yang dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku jahat pada perangkat Android dengan layanan Google Play.” – Seorang juru bicara Google
8 Ancaman Umum pada tahun 2025
Sementara serangan awan mungkin tumbuh lebih canggih, penyerang masih berhasil dengan teknik yang sangat sederhana.
Menggambar dari deteksi Wiz di ribuan organisasi, laporan ini mengungkapkan 8 teknik utama yang digunakan oleh aktor ancaman fluen cloud.
