Anatsaバンキング・トロイの木馬は、5万以上のダウンロードを数えたPDFビューアを装ったアプリを通じて、再びGoogle Playに潜入した。
このマルウェアは、アプリのインストール直後にデバイス上でアクティブになり、北米のバンキングアプリを起動するユーザーを追跡し、アカウントへのアクセスやキーロギング、取引の自動化を可能にするオーバーレイを提供します。
最新のキャンペーンを発見し、Googleに報告したThreat Fabricの研究者によると、Anatsaは、ユーザーが対象のアプリを開くと、銀行システムのメンテナンスが予定されていることを知らせる偽のメッセージを表示します。
この通知はバンキング・アプリのUIの上に表示され、バックグラウンドでのマルウェアの活動を隠蔽し、被害者が銀行に連絡したり、不正な取引が行われていないか口座を確認したりすることを防ぎます。
Threat Fabricは、何年にもわたってGoogle Play上のAnatsaを追跡しており、偽の、あるいはトロイの木馬化されたユーティリティや生産性向上ツールの下への複数の侵入を発見しています。
2021年11月に発覚したキャンペーンは30万ダウンロードを達成し、2023年6月に公開された別のキャンペーンは3万ダウンロード、2024年2月に公開された別のキャンペーンは15万ダウンロードに達した。
2024年5月、モバイル・セキュリティ企業のZscalerは、AnatsaがAndroidの公式アプリストアにまたもや侵入し、PDFリーダーとQRリーダーを装った2つのアプリが合わせて7万ダウンロードを達成したと報告した。
Threat Fabricが今回Google Playで発見したAnatsaアプリは、「Hybrid Cars Simulator, Drift & Racing」が公開する「Document Viewer – File Reader」だ。
Source:ThreatFabric
研究者の報告によると、このアプリは、Anatsaのオペレーターが以前の事例でも示した卑劣な手口に従っており、かなりのユーザー数を獲得するまでアプリを「クリーン」な状態に保ちます。
アプリが十分に普及すると、彼らはアップデートによって悪意のあるコードを導入し、Anatsaのペイロードをリモートサーバーから取得し、別のアプリケーションとしてインストールします。
その後、Anatsaはコマンド・アンド・コントロール(C2)に接続し、感染したデバイス上で監視すべき標的アプリのリストを受け取ります。
最新のAnatsaアプリは、ストアでの最初のリリースから6週間後の6月24日から30日の間にトロイの木馬を配信した。
グーグルはその後、この悪質なアプリをストアから削除した。
このアプリをインストールした場合は、直ちにアンインストールし、Play Protectを使用してシステムの完全スキャンを実行し、銀行口座の認証情報をリセットすることをお勧めします。
Anatsaは定期的にGoogle Playに侵入する方法を見つけているため、ユーザーは信頼できるパブリッシャーのアプリのみを信頼し、ユーザーレビューを確認し、要求されたアクセス許可に注意を払い、デバイスにインストールされているアプリの数を必要最小限に抑える必要があります。
Update 7/8– Googleの広報担当者から以下のコメントが届きました:
「特定された悪質なアプリはすべてGoogle Playから削除されました。ユーザーはGoogle Playプロテクトによって自動的に保護されており、Google Playサービスを利用しているAndroid端末上で、悪意のある動作を示すことが判明しているアプリに対して警告を発したり、ブロックしたりすることができます。”- グーグルの広報担当者
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2025年に共通する8つの脅威
クラウド攻撃はより巧妙になっているかもしれないが、攻撃者は驚くほど単純なテクニックで成功している。
本レポートでは、何千もの組織におけるWizの検知結果から、クラウドを駆使する脅威者が使用する8つの主要なテクニックを明らかにします。
Comments