A equipe do ZSCALER AMPOLABZ descobriu avanços significativos no malware Anatsa, também conhecido como TeaBot, um Trojan bancário do Android que está ativo desde 2020.
Originalmente projetado para roubo de credenciais, keylogging e facilitando transações fraudulentas, o Anatsa evoluiu para uma ameaça mais sofisticada, agora visando mais de 831 instituições financeiras em todo o mundo.
Essa expansão inclui novas regiões como Alemanha e Coréia do Sul, juntamente com as plataformas de criptomoeda, marcando um aumento substancial em relação ao seu escopo anterior de cerca de 650 alvos principalmente na Europa, nos EUA e no Reino Unido.
Evolução de um trojão bancário persistente
Os atores de ameaças por trás do Anatsa empregam aplicativos de engodo disfarçados de ferramentas benignas, como leitores de documentos ou gerentes de arquivos, distribuídos pela loja do Google Play.
Esses droppers parecem legítimos após a instalação, mas buscam secretamente Cargas úteis maliciosas A partir de servidores de comando e controle (C2), mascarada como atualizações para evitar os mecanismos de detecção do Google.
Em uma mudança notável de variantes anteriores, a mais recente entrega da carga útil do Anatsa para o abandono do carregamento de código dinâmico de arquivos Remote Dalvik executável (DEX) em favor da instalação direta, aumentando a eficiência e a furtividade.
Além disso, ele incorpora a descriptografia do tempo de execução usando o padrão de criptografia de dados (DES) com teclas geradas dinamicamente, tornando as seqüências resistentes à análise estática.
Restrições específicas do dispositivo e verificações de emulação também são implementadas para impedir ambientes de análise dinâmica, garantindo que o malware seja ativado apenas em dispositivos genuínos e direcionados.
Se as verificações falharem, o aplicativo reverte para uma interface inofensiva do gerenciador de arquivos, mantendo sua fachada.
Táticas aprimoradas de evasão
Procurando-se mais profundamente em sua composição técnica, o Anatsa agora apresenta aprimoramentos anti-análise, incluindo um apk corrompido Arquivo Zip com sinalizadores inválidos de compactação e criptografia que confundem as ferramentas de análise estática padrão dependentes das validações de cabeçalho Java ZIP.
Apesar dessa malformação, o APK é executado perfeitamente em dispositivos Android padrão. A carga útil principal, oculta em um arquivo JSON que é dinamicamente caído e excluído pós-carregamento, inclui uma variante KeyLogger atualizada.
Após a instalação, o Anatsa solicita permissões de acessibilidade, que, se concedidas, permissões de manifestos críticos para atividades automáticas como System_ALERT_Window, Read_SMs, Receber_sms e USE_FILL_SCREEN_INTENT.
As comunicações com servidores C2 são criptografadas por meio de uma tecla XOR de byte simples (decimal 66), transmitindo dados de configuração no formato JSON, que inclui listas de domínio, detalhes da versão para injetos e keyloggers e conjuntos de comando.
As malware exfiltraem as credenciais sobrepõindo as páginas de login falsas adaptadas aos aplicativos bancários detectados, baixados dos servidores C2.
Análise revela Enquanto o Anatsa tem como alvo 831 aplicativos para KeyLogging, muitas páginas de injeção permanecem incompletas ou em desenvolvimento, como uma mensagem de manutenção de espaço reservado para o aplicativo Robinhood.
Os nomes de pacotes e os hashes de instalação são frequentemente girados para evitar a detecção baseada em padrões em sistemas infectados. Muitos aplicativos de engodo ultrapassaram 50.000 downloads individualmente, ampliando o alcance da ameaça.
Além de Anatsa, a AmeakLabz relatou 77 aplicativos maliciosos de diversas famílias para o Google, acumulando mais de 19 milhões de instalações coletivamente.
As tendências indicam uma onda de adware ao lado de Trojans como Joker, Harly e Anatsa, enquanto famílias como FaceStealer e Coer declinam.
As categorias comuns de chamariz incluem ferramentas de produtividade, gerentes de arquivos e aplicativos de entretenimento, explorados para distribuição de malware.
Os refinamentos anti-análise da Anatsa e a segmentação expandida sublinham os riscos crescentes para os usuários do Android, enfatizando a necessidade de revisões de permissão vigilante e o alinhamento com a funcionalidade do aplicativo.
Indicador de compromisso (COI)
| Nome do pacote | MD5 | Comando e controle (C2) |
|---|---|---|
| com.synexa.fileops.fileEdge_organizerviewer | 5F85261CF55ED10E73C9B68128092E70 | HXXPS[://]Saurkanot[.]com/política[.]html HXXPS[://]Saurkanot[.]com/privacidade[.]html |
| com.trend.bid | 9B6E5703BB0DC0CE8AA98281D0821642 | HXXP[://]185[.]215[.]113[.]108: 85/API/ HXXP[://]193[.]24[.]123[.]18: 85/API/ HXXP[://]162[.]252[.]173[.]37: 85/API/ |
| com.ApplicationsRearchGroup.docxploremanageViewer | A4973B21E77726A88ACA1B57AF70CC0A | HXXPS[://]DOCSResearchGroup[.]coma |
| com.mvivhzsmq.gqrzqsubj | ED8EA4DC43DA437F81BEF8D5DC688BDB | HXXP[://]37[.]235[.]54[.]59/ HXXP[://]91[.]215[.]85[.]55:85 HXXP[://]185[.]215[.]113[.]108: 85 |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!