Вредоносное ПО Anubis для Android возвращается в 394 финансовых приложениях

Как запускать приложения и игры для Android в Linux

Банковское вредоносное ПО Anubis для Android теперь нацелено на клиентов почти 400 финансовых учреждений в рамках новой кампании вредоносных программ.

Злоумышленники нацелены на финансовые учреждения, криптовалютные кошельки и виртуальные платежные платформы, выдавая себя за приложение Orange SA для Android, которое пытается украсть учетные данные.

Отчет исходит от исследователей Lookout, которые отмечают, что вредоносная кампания все еще находится на стадии тестирования и оптимизации.

Старая, но серьезная угроза

Anubis впервые появился на российских хакерских форумах в 2016 году как банковский троян с открытым исходным кодом и инструкциями по внедрению его клиента и компонентов.

В последующие годы Анубис получил дальнейшие разработки, и его новый код продолжал открыто делиться между участниками.

В 2019 году вредоносная программа добавила почти функциональный модуль вымогателя и попала в Google Play Store через поддельные приложения.

В 2020 году Анубис вернулся с помощью крупномасштабных фишинговых кампаний, нацеленных на 250 торговых и банковских приложений .

Anubis будет отображать поддельные формы входа для фишинга, когда пользователи открывают приложения для целевых платформ для кражи учетных данных. Этот оверлейный экран будет отображаться поверх экрана входа в реальное приложение, чтобы жертвы думали, что это законная форма входа, когда на самом деле введенные учетные данные отправляются злоумышленникам.

В новой версии, обнаруженной Lookout, Anubis теперь нацелен на 394 приложения и имеет следующие возможности:

  • Запись активности экрана и звука с микрофона
  • Внедрение прокси-сервера SOCKS5 для скрытой связи и доставки пакетов
  • Захват скриншотов
  • Отправка массовых SMS-сообщений с устройства указанным получателям
  • Получение контактов, хранящихся на устройстве
  • Отправка, чтение, удаление и блокировка уведомлений для SMS-сообщений, полученных устройством
  • Сканирование устройства на наличие интересующих файлов для эксфильтрации
  • Блокировка экрана устройства и отображение постоянной записки о выкупе
  • Отправка запросов кода USSD для запроса остатков на счетах в банках
  • Сбор данных GPS и статистики шагомера
  • Внедрение кейлоггера для кражи учетных данных
  • Мониторинг активных приложений для имитации и выполнения оверлейных атак
  • Прекращение работы вредоносных программ и удаление вредоносных программ с устройства

Как и предыдущие версии, новейшая версия Anubis определяет, включена ли на взломанном устройстве функция Google Play Protected, и отправляет поддельное системное предупреждение, чтобы обманом заставить пользователя отключить ее.

Эта деактивация дает вредоносному ПО полный доступ к устройству и свободу отправлять и получать данные от C2 без каких-либо помех.

Механизмы распространения

Актеры попытались отправить пакет fr.orange.serviceapp в магазин Google Play в июле 2021 года, но приложение было отклонено.

Lookout  считает, что это была просто попытка протестировать детекторы защиты от вредоносных программ Google, поскольку злоумышленники лишь частично реализовали схему обфускации.

Эта оптимизация и обфускация приложений продолжаются, что касается как связи C2, так и кода приложения.

Распространение поддельного приложения Orange в настоящее время происходит через вредоносные веб-сайты, прямые сообщения в социальных сетях, сообщения в социальных сетях и сообщения на форумах.

Исследователь угроз Lookout Кристина Валаам сообщила Bleeping Computer, что эта кампания нацелена не только на французских клиентов Orange SA, но и на американских пользователей.

Хотя мы не можем быть уверены, использовалось ли приложение в успешной атаке, мы знаем, что они нацелены на банки США, включая Bank of America, US Bank, Capital One, Chase, SunTrust и Wells Fargo.

Актер, стоящий за недавней рекламной кампанией

Нет конкретной информации об актерах, которые в настоящее время распространяют Anubis, поскольку они были достаточно осторожны, чтобы скрыть свой след регистрации инфраструктуры C2.

Актер использует Cloudflare для перенаправления всего сетевого трафика через SSL, в то время как C2 маскируется под сайт торговли криптовалютой, используя домен «hhtps: // quickbitrade [.] Com».

Связь между Анубисом и C2 еще не защищена должным образом, но область панели администратора недоступна.

Учитывая, что код Anubis распространяется на многочисленных подпольных хакерских форумах, количество хакеров, использующих его, велико, и установление связи с онлайн-персонажами злоумышленников затруднено.

Клиентам Orange SA рекомендуется загружать приложение только с официального сайта телефонной компании или в магазине Google Play.

Кроме того, при загрузке и установке приложения обратите внимание на запрашиваемые разрешения, прежде чем давать свое одобрение.

Источник

Последнее обновление 15.12.2021