به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس گزارش شرکت امنیت سایبری هلندی تریت فابریک (ThreatFabric) که از سال ۲۰۲۰ فعالیتهای آناتسا (Anatsa) را رصد میکند، این حداقل سومین بار است که این بدافزار مشتریان بانکهای ایالات متحده و کانادا را هدف میگیرد.
آناتسا توانایی دارد اطلاعات ورود به حساب بانکی را سرقت کرده، ضربهکلیدها را ثبت کند و با استفاده از ابزارهای دسترسی از راه دور، تراکنشهای تقلبی را مستقیماً از دستگاه آلوده انجام دهد.
شیوه معمول کمپینهای آناتسا به این صورت است که ابتدا یک برنامه اندرویدی ظاهراً بیخطر و کاربردی مثل پی دی اف ریدر (PDF reader) یا اپلیکیشن پاککننده تلفن، در فروشگاه اپ منتشر میشود.
این برنامه تا زمانی که هزاران بار دانلود شود، عملکردی عادی دارد، اما پس از مدتی، با یک بهروزرسانی مخرب، کدی در دستگاه تزریق میشود که نسخه اصلی بدافزار آناتسا را بهصورت جداگانه نصب میکند.
پس از آن، بر اساس هدف موردنظر، فعالیتهای مخرب آغاز میشود.
در آخرین کمپین، بدافزار درون یک اپلیکیشن ساده خوانش فایل جاسازی شده بود که حدود شش هفته پس از انتشار بهروزرسانی مخرب دریافت کرد.
این بهروزرسانی در بازه زمانی ۲۴ تا ۳۰ ژوئن به دستگاهها منتقل شد.
به گفته تریت فابریک، این اپ پیش از حذف از پلیاستور نسخه آمریکایی، جزو برترین ابزارهای رایگان بود و بیش از ۵۰ هزار بار دانلود شده بود.
راندولف بار، مدیر ارشد امنیت اطلاعات شرکت سیکوئنس (Cequence) بیان کرد:
این الگو دو مرحلهای برای ما آشناست. حتی کاربران آگاه هم ممکن است فریب بخورند، چون نسخه اولیه اپ کاملاً سالم و مفید به نظر میرسد.
پژوهشگران مشخص نکردهاند که هکرها چگونه اپ را تبلیغ کردهاند تا به چنین گسترهای از کاربران برسد.
همچنین هنوز مشخص نیست از اطلاعات سرقتشده دقیقاً چه استفادهای شده، اما سناریوهای محتمل شامل باجافزار، فروش دادهها در دارکنت، یا حملات دیگر توسط مجرمان سایبری است.
به گفته تریت فابریک، یکی از ویژگیهای کلیدی این کمپین، گسترش دامنه اهداف آن بود؛ بهطوریکه تعداد بیشتری از اپلیکیشنهای بانکداری موبایلی در آمریکا را در بر گرفت.
بدافزارهای بانکی، ابزارهای رایجی در میان مجرمان سایبری هستند که برای سرقت اطلاعات حساس مالی طراحی شدهاند.
این حملات معمولاً منجر به تراکنشهای غیرمجاز، تصاحب حسابها و خسارتهای مالی سنگین برای قربانیان میشوند.
راندولف بار هشدار داد:
احتمالاً در آینده شاهد کمپینهای پیشرفتهتری خواهیم بود، مانند بدافزارهایی که با هوش مصنوعی، پوششهای شخصیسازیشده برای بانکها ایجاد میکنند، یا بدافزارهایی با بارهای ماژولار که پس از نصب بهصورت بلادرنگ بارگیری میشوند، یا تلاش برای دور زدن احراز هویت چندمرحلهای (MFA) از طریق پوشش صفحه یا سرقت توکن و حتی سوءاستفاده بیشتر از خدمات دسترسی و ربایش نشستها (session hijacking).
در اوایل ماه ژوئن، تریت فابریک نسخه جدیدی از بدافزار بانکی اندرویدی کروکودیلوس (Crocodilus) را کشف کرد که در حال گسترش در اروپا، آمریکای جنوبی و بخشهایی از آسیاست.
نسخه جدید این بدافزار میتواند ورودیهای جعلی به لیست مخاطبان کاربر اضافه کند و از این طریق تماسهایی از طرف شمارههایی شبیه پشتیبانی بانک برقرار کند؛ روشی که میتواند سیستمهای ضدکلاهبرداری را دور بزند و کاربران را فریب دهد.
