ИБ-исследователи обнаружили, что Android-банкер Anubis вернулся и теперь нацелен на пользователей 394 приложений, включая продукты финансовых учреждений, криптовалютные кошельки и виртуальные платежные платформы. При этом эксперты компании Lookout пишут, что новая кампания банкера пока находится в стадии тестирования и оптимизации, пишет Хакер.
Впервые Anubis был замечен на хакерских форумах в 2016 году, когда распространялся как банковский троян с открытым исходным кодом, снабженный подробными инструкциями по внедрению клиента и различных компонентов.
В 2019 году малварь обзавелась вымогательским модулем и проникла в Google Play Store, используя для внедрения поддельные приложения. В 2020 году троян и вовсе развернул крупномасштабную фишинговую кампанию, нацеленную на пользователей 250 шоппинговых и банковских приложений.
Принцип работы малвари прост: обычно Anubis отображает фишинговые оверлеи поверх окон настоящих приложений и ворует введенные пользователями учетные данные.
Новая версия малвари, замеченная экспертами Lookout, нацелена уже на 394 приложения и обладает следующими возможностями:
Как в прошлых версиях Anubis, малварь определяет, включена ли на взломанном устройстве функция Google Play Protected, после чего отправляет поддельное системное предупреждение, чтобы обманом заставить пользователя отключить ее. Это дает трояну полный доступ к устройству и свободу отправлять и получать данные с управляющего сервера без каких-либо помех.
Эксперты сообщают, что на этот раз злоумышленники попытались отправить пакет fr.orange.serviceapp в Google Play Store в июле 2021 года, но тогда их приложение было отклонено. Судя по всему, это была лишь попытка проверить системы Google для защиты от вредоносных программ, поскольку тогда злоумышленники лишь частично реализовали свою схему обфускации.
Пока распространение вредоносного приложения Orange SA, снабженного новой версией Anubis, происходит через сторонние сайты, сообщения в социальных сетях, на форумах и так далее. При этом вредоносная кампания нацелена не только на французских клиентов Orange SA, но и на американских пользователей, включая клиентов Bank of America, US Bank, Capital One, Chase, SunTrust и Wells Fargo.
Учитывая, что код Anubis давно распространяется на многочисленных хакерских форумах, его использует множество хакеров, и теперь понять, кто стоит за новой версией трояна, крайне трудно. К тому же атакующие потрудились скрыть свои следы и используют Cloudflare для перенаправления всего сетевого трафика через SSL, тогда как C&C-сервер маскируется под криптовалютный обменник, используя домен https://quickbitrade[.]com.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.