Le cheval de Troie bancaire Android connu sous le nom de Anatsa a élargi son champ d’action pour inclure la Slovaquie, la Slovénie et la Tchéquie dans le cadre d’une nouvelle campagne observée en novembre 2023.
« Certains des droppers de la campagne ont réussi à exploiter le service d’accessibilité, malgré les mécanismes améliorés de détection et de protection de Google Play », ThreatFabric dit dans un rapport partagé avec The Hacker News.
« Tous les droppers de cette campagne ont démontré leur capacité à contourner les paramètres restreints du service d’accessibilité dans Android 13. » La campagne, au total, implique cinq compte-gouttes avec plus de 100 000 installations totales.
Également connue sous les noms de TeaBot et Toddler, Anatsa est connue pour être distribuée sous le couvert d’applications apparemment anodines sur le Google Play Store. Ces applications, appelées droppers, facilitent l’installation du malware en contournant les mesures de sécurité imposées par Google qui cherchent à accorder des autorisations sensibles.
En juin 2023, la société néerlandaise de sécurité mobile a dévoilé une campagne Anatsa ciblant les clients bancaires aux États-Unis, au Royaume-Uni, en Allemagne, en Autriche et en Suisse au moins depuis mars 2023, à l’aide d’applications compte-gouttes qui ont été collectivement téléchargées plus de 30 000 fois sur le Play Store.
Anatsa est doté de fonctionnalités permettant de prendre le contrôle total des appareils infectés et d’exécuter des actions au nom d’une victime. Il peut également voler des informations d’identification pour lancer des transactions frauduleuses.
La dernière itération observée en novembre 2023 n’est pas différente dans la mesure où l’un des compte-gouttes s’est fait passer pour une application de nettoyage de téléphone nommée « Phone Cleaner – File Explorer » (nom du package « com.volabs.androidcleaner ») et a exploité une technique appelée gestion des versions pour introduire son comportement malveillant.
Bien que l’application ne soit plus disponible au téléchargement depuis la vitrine officielle pour Android, elle peut toujours être téléchargée via d’autres sources tierces sommaires.
Selon statistiques Disponible sur la plateforme d’intelligence des applications AppBrain, l’application aurait été téléchargée environ 12 000 fois au cours de sa disponibilité sur le Google Play Store, entre le 13 et le 27 novembre, date à laquelle elle n’était pas publiée.
« Au départ, l’application semblait inoffensive, sans code malveillant et son service d’accessibilité ne se livrait à aucune activité nuisible », ont déclaré les chercheurs de ThreatFabric.
« Cependant, une semaine après sa sortie, une mise à jour a introduit un code malveillant. Cette mise à jour a modifié la fonctionnalité AccessibilityService, lui permettant d’exécuter des actions malveillantes telles que cliquer automatiquement sur des boutons une fois qu’il a reçu une configuration du [command-and-control] serveur. »
Ce qui rend le compte-gouttes remarquable, c’est que son abus du service d’accessibilité est adapté aux appareils Samsung, ce qui suggère qu’il a été conçu pour cibler exclusivement les combinés fabriqués par l’entreprise à un moment donné, bien que d’autres compte-gouttes utilisés dans la campagne se soient révélés indépendants du fabricant. .
Les droppers sont également capables de contourner les paramètres restreints d’Android 13 en imitant le processus utilisé par les places de marché pour installer de nouvelles applications sans que leur accès aux fonctionnalités du service d’accessibilité soit désactivé, comme observé précédemment dans le cas de services dropper comme SecuriDropper.
« Ces acteurs préfèrent les attaques concentrées sur des régions spécifiques plutôt que de se propager à l’échelle mondiale, changeant périodiquement leur concentration », a déclaré ThreatFabric. « Cette approche ciblée leur permet de se concentrer sur un nombre limité d’organismes financiers, ce qui entraîne un nombre élevé de cas de fraude en peu de temps. »
Ce développement intervient alors que Fortinet FortiGuard Labs a détaillé une autre campagne qui distribue le cheval de Troie d’accès à distance SpyNote en imitant un service de portefeuille de crypto-monnaie légitime basé à Singapour, connu sous le nom d’imToken, pour remplacer les adresses de portefeuille de destination par des adresses contrôlées par des acteurs et effectuer des transferts d’actifs illicites.
« Comme beaucoup de malware Android aujourd’hui, ce malware abuse de l’API d’accessibilité », chercheuse en sécurité Axelle Apvrille dit. « Cet exemple SpyNote utilise l’API d’accessibilité pour cibler les célèbres portefeuilles cryptographiques. »