Le cheval de Troie bancaire Anatsa cible les utilisateurs en Europe en infectant les appareils Android via des droppers malveillants hébergés sur Google Play.

Au cours des quatre derniers mois, les chercheurs en sécurité ont remarqué cinq campagnes conçues pour diffuser le malware aux utilisateurs au Royaume-Uni, en Allemagne, en Espagne, en Slovaquie, en Slovénie et en République tchèque.

Les chercheurs de la société de détection de fraude ThreatFabric ont remarqué une augmentation de l’activité d’Anatsa depuis novembre, avec au moins 150 000 infections.

Chaque vague d’attaque se concentre sur des régions géographiques spécifiques et utilise des applications compte-gouttes conçues pour atteindre les” Meilleures nouvelles catégories gratuites  » sur Google Play, ce qui leur confère de la crédibilité et augmente le taux de réussite.

Le rapport de ThreatFabric note que les applications dropper implémentent désormais un processus d’infection à plusieurs étapes et ont évolué pour abuser du service d’accessibilité d’Android afin de contourner les mesures de sécurité présentes dans les versions du système d’exploitation mobile jusqu’à Android 13.

L’été dernier, ThreatFabric a mis en garde contre une autre campagne Anatsa axée sur l’Europe qui utilisait également des applications compte-gouttes hébergées sur Google Play, principalement de fausses applications de visualisation de PDF.

Applications de compte-gouttes Anatsa
Dans la dernière campagne Anatsa, les opérateurs de logiciels malveillants utilisent à la fois des PDF et de fausses applications de nettoyage qui promettent de libérer de l’espace sur l’appareil en supprimant les fichiers inutiles.

Un exemple mis en évidence par les chercheurs de ThreatFabric est une application nommée « Nettoyeur de téléphone – Explorateur de fichiers », qui a été comptée plus de 10 000 téléchargements.

Application compte-gouttes Anatsa

Threat Fabric a déclaré à Breachtrace qu’une campagne Anasta utilisait également une autre application appelée « Lecteur PDF: Gestionnaire de fichiers », qui a enregistré plus de 100 000 téléchargements.

Au moment de la rédaction de cet article, Google a supprimé toutes les applications Anatsa dropper de la boutique Android officielle, à l’exception du lecteur PDF, qui continue d’être disponible.

Application de lecture de PDF malveillante

Les chercheurs de ThreatFabric nous ont dit que le nombre de téléchargements 150,000 pour les compte-gouttes Anatsa sur Google Play est prudent et que le chiffre réel serait plus proche de 200,000 car ils ont utilisé les estimations les plus basses pour le décompte.

Les cinq applications malveillantes sont:

  1. Nettoyeur de téléphone-Explorateur de fichiers (com.colabs.nettoyeur android)
  2. Visionneuse PDF-Explorateur de fichiers (com.labo.explorateur de fichiers)
  3. Lecteur PDF-Visionneuse et éditeur (com.jumbo dub.explorateur de fichiers visionneuse pdf)
  4. Nettoyeur de téléphone: Explorateur de fichiers (com.application icloud s. nettoyeur de téléphone)
  5. Lecteur PDF: Gestionnaire de fichiers (com.savon tragique.gestionnaire de fichiers et pdf)

Considérant qu’Anasta lance constamment de nouvelles vagues d’attaques à l’aide de nouvelles applications compte-gouttes, le nombre total de téléchargements devrait encore augmenter. Déjà, il a dépassé les 130 000 qu’Anatsa a atteints au premier semestre 2023.

Détails techniques
Les informations techniques du rapport de ThreatFabric révèlent que les applications dropper utilisent une approche à plusieurs étapes pour éviter la détection, téléchargeant dynamiquement des composants malveillants à partir d’un serveur de commande et de contrôle (C2).

Mise à jour du code malveillant

Une stratégie notable implique l’utilisation abusive du service d’accessibilité, historiquement un vecteur pour les logiciels malveillants d’automatiser l’installation de la charge utile sans interaction de l’utilisateur.

Les logiciels malveillants abusant de ce puissant service Android créé pour aider les utilisateurs handicapés se produisent fréquemment, malgré les récentes mises à jour de politique de Google qui ont introduit des restrictions pour lutter contre l’abus.

L’autorisation d’Anatsa droppers d’accéder au service d’accessibilité était déguisée par la nécessité de  » mettre en veille prolongée les applications qui épuisent la batterie”, ce qui apparaît comme une fonctionnalité légitime dans le contexte d’une application plus propre.

Threat Fabric a découvert dans un cas que la mise à jour du code malveillant avait été introduite une semaine après le téléchargement de l’application dropper sur Google Play et avait ajouté des paramètres de navigation de l’interface utilisateur correspondant à ceux des appareils Samsung (One UI).

Actions spécifiques à Samsung

Les autres droppers utilisés dans la même campagne ne contiennent pas de code spécifique au fournisseur, ciblant ainsi une sélection plus large d’appareils Android.

La mise à jour du code malveillant est téléchargée à partir du C2 en quatre étapes distinctes, probablement une tactique pour échapper à la détection et au signalement par les mécanismes de révision du code de Google.

  • Récupération de la configuration: Télécharge la configuration à partir du serveur C2 contenant les chaînes essentielles pour le code malveillant, évitant une détection immédiate en masquant les indicateurs suspects.
  • Téléchargement de fichier DEX: Récupère un fichier DEX avec le code malveillant responsable de l’installation de la charge utile, activé par les chaînes précédemment téléchargées.
  • Configuration de l’URL de la charge utile: Télécharge un fichier de configuration avec l’URL de la charge utile, permettant aux attaquants de mettre à jour le lien de la charge utile si nécessaire.
  • Installation de la charge utile: Utilise le fichier DEX pour télécharger, installer et lancer le logiciel malveillant Anatsa, complétant ainsi le processus d’infection.
Processus de récupération de la charge utile

La propagation de la campagne Anatsa est importante et comporte un risque de fraude financière. Il est recommandé aux utilisateurs d’Android d’examiner attentivement les évaluations des utilisateurs et l’historique des éditeurs avant d’installer une application.

Un bon moyen de rester protégé consiste à éviter les applications d’amélioration des performances, de productivité et de messagerie sécurisée qui ne proviennent pas de fournisseurs ayant une réputation établie.

Lors de l’installation de nouvelles applications, il est fortement recommandé de vérifier la liste des autorisations demandées et de refuser celles qui ne sont pas liées à l’objectif de l’application (par exemple, une application de retouche photo n’a pas besoin d’accéder au microphone).

Lors de l’installation de nouvelles applications, examinez attentivement les autorisations demandées, en particulier celles liées au service d’accessibilité, qui doivent être considérées comme un signal d’alarme pour les menaces potentielles de logiciels malveillants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *