Une nouvelle campagne de logiciels malveillants mobiles depuis mars 2023 pousse le cheval de Troie bancaire Android « Anatsa » vers les clients des banques en ligne aux États-Unis, au Royaume-Uni, en Allemagne, en Autriche et en Suisse.
Selon les chercheurs en sécurité de ThreatFabric, qui ont suivi l’activité malveillante, les attaquants distribuent leurs logiciels malveillants via le Play Store, la boutique d’applications officielle d’Android, et ont déjà plus de 30 000 installations via cette seule méthode.
ThreatFabric a découvert une précédente campagne Anatsa sur Google Play en novembre 2021, lorsque le cheval de Troie a été installé plus de 300 000 fois en se faisant passer pour des scanners PDF, des scanners de code QR, des applications Adobe Illustrator et des applications de suivi de la condition physique.
Nouvelle campagne Anatsa
En mars 2023, après une interruption de six mois dans la distribution de logiciels malveillants, les acteurs de la menace ont lancé une nouvelle campagne de publicité malveillante qui conduit les victimes potentielles à télécharger des applications de compte-gouttes Anatsa sur Google Play.
Les applications malveillantes continuent d’appartenir à la catégorie bureautique/productivité, se faisant passer pour des applications de visualisation et d’édition PDF et des suites bureautiques.
Chaque fois que ThreatFabric a signalé l’application malveillante à Google et qu’elle a été supprimée du magasin, les attaquants sont revenus rapidement en téléchargeant un nouveau compte-gouttes sous une nouvelle apparence.
Dans les cinq cas de droppers de logiciels malveillants identifiés, les applications ont été soumises sur Google Play sous une forme propre et ont ensuite été mises à jour avec un code malveillant, susceptible d’échapper au processus rigoureux d’examen du code de Google lors de la première soumission.
Une fois installées sur l’appareil de la victime, les applications dropper demandent une ressource externe hébergée sur GitHub, à partir de laquelle elles téléchargent les charges utiles Anatsa déguisées en modules complémentaires de reconnaissance de texte pour Adobe Illustrator.
Anatsa collecte des informations financières telles que les informations d’identification de compte bancaire, les détails de carte de crédit, les informations de paiement, etc., en superposant les pages de phishing au premier plan lorsque l’utilisateur tente de lancer son application bancaire légitime et également via l’enregistrement de frappe.
Dans sa version actuelle, le cheval de Troie Anatsa prend en charge le ciblage de près de 600 applications financières d’institutions bancaires du monde entier.
Anatsa utilise les informations volées pour effectuer une fraude sur l’appareil en lançant l’application bancaire et en effectuant des transactions au nom de la victime, en automatisant le processus de vol d’argent pour ses opérateurs.
« Étant donné que les transactions sont initiées à partir du même appareil que les clients bancaires ciblés utilisent régulièrement, il a été signalé qu’il est très difficile pour les systèmes anti-fraude bancaires de le détecter », explique ThreatFabric.
Les montants volés sont convertis en crypto-monnaie et transmis par un vaste réseau de mules monétaires dans les pays ciblés, qui conserveront une partie des fonds volés en tant que partage des revenus et enverront le reste aux attaquants.
Protéger Android
Alors que les campagnes de logiciels malveillants, telles qu’Anatsa, étendent leur ciblage à d’autres pays, les utilisateurs doivent être extrêmement vigilants quant aux applications qu’ils installent sur les appareils Android.
Les utilisateurs doivent éviter d’installer des applications d’éditeurs douteux, même si celles-ci se trouvent sur un magasin bien contrôlé comme Google Play. Vérifiez toujours les avis et voyez si un modèle de rapports indique un comportement malveillant.
De plus, si possible, évitez les applications avec peu d’installations et de révisions et installez plutôt des applications bien connues et fréquemment citées sur les sites Web.
Comme de nombreuses applications sur Google Play portent le même nom que les applications malveillantes, il est recommandé de consulter l’annexe du rapport ThreatFabric pour la liste des noms de packages et des signatures qui poussent Anatsa et de les supprimer immédiatement de votre appareil Android s’il est installé.
Breachtrace a demandé à Google d’expliquer comment les opérateurs d’Anatsa peuvent soumettre des mises à jour malveillantes sur leurs applications de compte-gouttes sur le Play Store et remplacer rapidement les compte-gouttes signalés, mais aucun commentaire n’était disponible par publication.