Τέσσερα διαφορετικά τραπεζικά trojan Android ήταν διαθέσιμα προς εγκατάσταση μέσω του επίσημου Google Play Store μεταξύ Αυγούστου και Νοεμβρίου 2021, με αποτέλεσμα περισσότερες από 300.000 συσκευές να μολυνθούν μέσω διαφόρων εφαρμογών dropper που εμφανίζονταν ως φαινομενικά αβλαβείς βοηθητικές εφαρμογές για τον πλήρη έλεγχο των συσκευών.
Σχεδιασμένη για να παρέχει τα Anatsa (γνωστά και ως TeaBot), Alien, ERMAC και Hydra, η εταιρεία κυβερνοασφάλειας ThreatFabric είπε ότι οι καμπάνιες κακόβουλου λογισμικού δεν είναι μόνο πιο εκλεπτυσμένες, αλλά και σχεδιασμένες ώστε να έχουν ένα μικρό κακόβουλο αποτύπωμα, διασφαλίζοντας αποτελεσματικά ότι τα ωφέλιμα payloads εγκαθίστανται μόνο σε συσκευές smartphone από συγκεκριμένες περιοχές και αποτρέποντας τη λήψη του κακόβουλου λογισμικού κατά τη διαδικασία δημοσίευσης.
Μόλις εγκατασταθούν, αυτοί οι τραπεζικοί trojans μπορούν να συλλέξουν κρυφά κωδικούς πρόσβασης χρηστών και κωδικούς ελέγχου ταυτότητας δύο παραγόντων που βασίζονται σε SMS, πληκτρολογήσεις, στιγμιότυπα οθόνης και ακόμη και να εξαντλήσουν τους τραπεζικούς λογαριασμούς των χρηστών χωρίς να το γνωρίζουν, χρησιμοποιώντας ένα εργαλείο που ονομάζεται Automatic Transfer System (ATS). Οι εφαρμογές έχουν αφαιρεθεί από το Play Store.
Η λίστα με τις κακόβουλες εφαρμογές dropper είναι παρακάτω:
- Two Factor Authenticator (com.flowdivison)
- Protection Guard (com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- Master Scanner Live (com.multifuction.combine.qr)
- QR Scanner 2021 (com.qr.code.generate)
- QR Scanner (com.qr.barqr.scangen)
- PDF Document Scanner – Scan to PDF (com.xaviermuches.docscannerpro2)
- PDF Document Scanner Free (com.doscanner.mobile)
- CryptoTracker (cryptolistapp.app.com.cryptotracker)
- Gym and Fitness Trainer (com.gym.trainer.jeux)
Η κύρια τεχνική μεταξύ άλλων ονομάζεται versioning, όπου οι καθαρές εκδόσεις των εφαρμογών μεταφορτώνονται πρώτα και οι κακόβουλες λειτουργίες εισάγονται σταδιακά με τη μορφή επακόλουθων ενημερώσεων εφαρμογών. Μια άλλη τακτική περιλαμβάνει τη σχεδίαση παρόμοιων ιστότοπων εντολής και ελέγχου (C2) που ταιριάζουν με το θέμα της εφαρμογής dropper, ώστε να ξεφεύγουν από τις συμβατικές μεθόδους ανίχνευσης.
Η ThreatFabric ανακάλυψε έξι droppers Anatsa στο Play Store από τον Ιούνιο του 2021, με τις εφαρμογές να έχουν προγραμματιστεί για λήψη μιας “ενημέρωσης” και στη συνέχεια να ζητούν από τους χρήστες να της παραχωρήσουν δικαιώματα εγκατάστασης εφαρμογών από άγνωστες πηγές τρίτων και προνόμια Accessibility Service.
Η Brunhilda, μια απειλή που ανακαλύφθηκε να διανέμει έναν trojan απομακρυσμένης πρόσβασης με το όνομα Vultur τον Ιούλιο του 2021, χρησιμοποίησε trojanized εφαρμογές που μεταμφιέζονταν σε εφαρμογές δημιουργίας κωδικών QR για να απορρίψουν το κακόβουλο λογισμικό Hydra και ERMAC που απευθύνονταν σε χρήστες στις ΗΠΑ, μια αγορά που προηγουμένως δεν είχε στόχο τα δύο κακόβουλα προγράμματα οικογένειες.
Τέλος, μια εφαρμογή dropper γυμναστικής με περισσότερες από 10.000 εγκαταστάσεις – με το όνομα GymDrop – βρέθηκε να παρέχει το payload Alien banking trojan καλύπτοντάς το ως ένα “νέο πακέτο ασκήσεων προπόνησης”, ακόμη και όταν ο υποτιθέμενος νόμιμος ιστότοπος προγραμματιστή της λειτουργεί ως διακομιστής C2 ανακτήστε τη διαμόρφωση που απαιτείται για τη λήψη του κακόβουλου λογισμικού.
«Για να γίνει ακόμα πιο δύσκολος ο εντοπισμός τους, οι απειλές πίσω από αυτές τις εφαρμογές dropper ενεργοποιούν μόνο χειροκίνητα την εγκατάσταση του τραπεζικού trojan σε μια μολυσμένη συσκευή σε περίπτωση που επιθυμούν περισσότερα θύματα σε μια συγκεκριμένη περιοχή του κόσμου», είπαν οι ερευνητές. “Αυτό καθιστά την αυτοματοποιημένη ανίχνευση μια πολύ πιο δύσκολη στρατηγική για την υιοθέτηση από οποιονδήποτε οργανισμό.”
