Anatsa – trojan znany również jako TeaBot został odkryty w 2020 roku. Jest to aplikacja na systemy Android, która jest w stanie kraść dane uwierzytelniające czy monitorować naciśnięte klawisze. Twórcy oprogramowania nieustannie doskonalili swoje techniki aby coraz lepiej wykradać dane bez ryzyka wykrycia.
Zespół Zscaler ThreatLabz, który nieustatnie monitoruje i analizuje złoślwe aplikacje również i w tym przypadku bliżej przyjrzał. W tym wpisie zagłębimy się w najnowsze aktualizacje Anatsa oraz przyjrzymy się ogólnym trendom dotyczącym rozprzestrzeniania się złośliwego oprogramowania w sklepie Google.
Anatsa była już badana przez ThreatLabz, tutaj można znaleźć artykuł na ten temat: https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google.
Najnowszy wariant trojana został użyty do ataku na 831 instytucji finansowych na całym świecie, podczas gdy poprzednie wersje były kierowane do ponad 650 instytucji. Nowa wersja obsługuje również szyfrowanie DES. Aplikacja używała tzw. Wabików, które łącznie przekroczyły 50000 pobrań.
Anatsa stosuje technikę droppera, czyli taką, która używa aplikacji będącej przynętą i która jest dostępna w sklepie Google. Po zainstalowaniu taka aplikacja wydaje się nieszkodliwa, natomiast po pobraniu łączy się z serwerem C2 i pobiera ona aktualizację, która jest złośliwym ładunkiem. Taki sposób pozwala na omijanie weryfikacji aplikacji Google.
Przykładowa aplikacja wygląda tak:
W nowej wersji instalator nadrzędny odszyfrowuje każdy ciąg znamków w czasie wykonywania, używając dynamicznie generowanego klucza DES. Dodatkowo Anatsa przeprowadza kontrole emulacji weryfikując modele urządzeń tak aby ominać środowiska analizy dynamicznej. Jeśli serwer C2 jest aktywny a urządzenie spełnia warunki jest pobierana aktualizacja. Aby utrudnić wykrycie, nazwa pakietu oraz skrót instalacji sa okresowo zmieniane.
Plik APK używa uszkodzonego archiwum do ukrycia pliku DEX, który jest wdrażany w czasie wykonywania. Archiwum to ma nieprawidłowe flagi kompresji i szyfrowania, co utrudnia wykrycie narzędzi do analizy statycznej.
Po instalacji Anatsa żąda od użytkownika uprawnień dostępności. Jeśli zostaną przyznane, złośliwe oprogramowanie automatycznie włącza wszystkie uprawnienia określone w pliku manifestu, które obejmują następujące elementy:
- SYSTEM_ALERT_WINDOW
- READ_SMS
- RECEIVE_SMS
- USE_FULL_SCREEN_INTENT
Anatsa łączy się z serwerem w celu żądania określonych poleceń i szyfruje komunikację C2 za pomocą jednobajtowego klucza XOR (66 w systemie dziesiętnym).
Eksfiltracja danych uwierzytelniajacych następuje głownie poprzez wyświetlanie fałszywych stron logowania do banków, które są pobierane z jej serwera C2. Strony te są dostosowywane na podstawie aplikacji instytucji finansowej wykrytych na urządzeniu użytkownika.
Google Play
Oprócz Anatsy ThreatLabz zidentyfikował i zgłosił Google 77 złośliwych aplikacji z różnych rodzin złośliwego oprogramowania, co łącznie odpowiada za ponad 19 milionów instalacji. Na wykresie zobaczycie kategorie aplikacji, które są najczęściej wykorzystywane do dystrybucji złośliwego oprogramowania za pośrednictwem sklepu.
Anatsa stale się rozwija udoskonalając techniki, które mają zapobiec wykryciu. Twórcy dodali również obsługę 150 aplikacji finansowych, które mają być celem ataku. Jeśli masz system Android (ale nie tylko) to podczas instalacji oprogramowania powinieneś weryfikować uprawnienia, o które proszą aplikacje i nie zgadzaj się na nie bezrefleksyjnie.
Pełna analiza Anatsa https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates
