Trojaner-Malware verwendet Apps, die ihre wahren Absichten verbergen, was ans Licht kommt, sobald Benutzer diese Apps installieren. Der Bericht behauptet, dass eine in der aufgeführte App Google Play Store gab sich als PDF-Reader aus, der bei der Installation die Trojaner-Payload herunterlud. Die von GitHub geladene Nutzlast war ebenfalls als Add-on zur Original-App getarnt.
Google hat bekannt gegeben, dass es die schädlichen Apps identifiziert und aus dem Play Store entfernt hat. Der Technologieriese hat die Entwickler gesperrt und hinzugefügt, dass Google Play Protect automatisch solche Apps entfernt, die diese Malware auf Android-Geräten mit Google Play Services enthalten.
Zuvor, im November 2021, verfolgten die Analysten von ThreatFabric auch andere Kampagnen, die Apps aus dem Google Play Store nutzten, um den Banking-Trojaner Anatsa zu verbreiten. Diese Apps gaben sich als PDF-Scanner, QR-Code-Scanner, Adobe Illustrator-Apps und Fitness-Tracker-Apps aus und wurden über 30.000 Mal installiert. Das Motiv dieser Malware besteht darin, die von Kunden in Banking-Apps verwendeten Anmeldeinformationen zu stehlen und zu initiieren betrügerische Transaktionen durch Geräteübernahmebetrug (Device-Takeover, DTO).
Wie die neueste „Anatsa“-Kampagne funktionierte
Nachdem Google die Anatsa-App aus dem Play Store entfernt hatte, fügten die Angreifer dem Android-App-Marktplatz eine weitere App hinzu. Diesmal war die App als PDF-Viewer-App getarnt, die auch die als Add-on für die App getarnte Nutzlast herunterlud.
Google entfernte diese Apps aus dem Play Store, sobald sie gemeldet wurden, und die Angreifer luden umgehend einen neuen Dropper unter einem neuen Deckmantel hoch. Die fünf Apps, die die Malware abgelegt haben, wurden in sauberer Form an Google Play übermittelt und später mit bösartigem Code aktualisiert, um dem strengen Codeüberprüfungsprozess von Google bei der ersten Übermittlung zu entgehen.
Anatsa sammelt Finanzinformationen wie Bankkontodaten, Kreditkartendaten, Zahlungsinformationen usw. Der Trojaner überlagert Phishing-Seiten im Vordergrund, wenn der Benutzer versucht, seine legitime Bank-App zu starten, und auch über Keylogging. Das Neueste Anatsa-Trojaner Die Kampagne betraf fast 600 Finanz-Apps von Bankinstituten auf der ganzen Welt.
„Da Transaktionen über dasselbe Gerät initiiert werden, das gezielte Bankkunden regelmäßig verwenden, ist es Berichten zufolge für Banken-Betrugsbekämpfungssysteme sehr schwierig, sie zu erkennen“, erklärt ThreatFabric.
Die gestohlenen Beträge werden dann in Kryptowährung umgewandelt und über ein umfangreiches Netzwerk von Money Mules in den Zielländern weitergeleitet. Die Netzwerkmitglieder behalten dann einen Teil der gestohlenen Gelder als Umsatzbeteiligung und schicken den Rest an die Angreifer.