تم العثور على أكثر من 90 تطبيقًا ضارًا لنظام Android تم تثبيتها أكثر من 5.5 مليون مرة عبر Google Play لتوصيل البرامج الضارة والبرامج الإعلانية، وقد شهد حصان طروادة المصرفي Anatsa طفرة مؤخرًا في النشاط.
Anatsa (المعروف أيضًا باسم “Teabot”) هو فيروس طروادة مصرفي يستهدف أكثر من 650 تطبيقًا لمؤسسات مالية في أوروبا والولايات المتحدة والمملكة المتحدة وآسيا. يحاول سرقة بيانات اعتماد الخدمات المصرفية الإلكترونية للأشخاص لإجراء معاملات احتيالية.
في فبراير 2024، أفادت Threat Fabric أنه منذ أواخر العام الماضي، حققت Anatsa ما لا يقل عن 150 ألف إصابة عبر Google Play باستخدام تطبيقات خادعة مختلفة في فئة برامج الإنتاجية.
اليوم، أفادت Zscaler أن Anatsa عادت إلى متجر تطبيقات Android الرسمي ويتم توزيعها الآن عبر تطبيقين خادعين: “PDF Reader & File Manager” و”QR Reader & File Manager”.
تطبيقات القطارة Anatsa
المصدر: زسكالر
في وقت تحليل Zscaler، كان التطبيقان قد جمعا بالفعل 70000 عملية تثبيت، مما يدل على المخاطر العالية لتسلل تطبيقات القطارة الضارة عبر الشقوق في عملية مراجعة Google.
الشيء الوحيد الذي يساعد تطبيقات Anatsa dropper على تجنب الاكتشاف هو آلية تحميل الحمولة النافعة متعددة المراحل والتي تتضمن أربع خطوات متميزة:
يسترد تطبيق Dropper التكوين والسلاسل الأساسية من خادم C2، ويتم تنزيل ملف DEX الذي يحتوي على رمز قطارة ضار وتنشيطه على الجهاز، ويتم تنزيل ملف التكوين مع عنوان URL لحمولة Anatsa، وجلب ملف DEX وتثبيت حمولة البرامج الضارة (APK)، مما يؤدي إلى إكمال الإصابة
خطوات تحميل البرامج الضارة
المصدر: Zscaler
يقوم ملف DEX أيضًا بإجراء فحوصات مضادة للتحليل للتأكد من عدم تنفيذ البرامج الضارة في صناديق الحماية أو بيئات المحاكاة.
بمجرد تشغيل Anatsa على الجهاز المصاب حديثًا، فإنه يقوم بتحميل تكوين الروبوت ونتائج فحص التطبيق، ثم يقوم بتنزيل الحقن التي تطابق موقع الضحية وملفه الشخصي.
تبادل البيانات بين البرامج الضارة وC2
المصدر: زسكالر
تهديدات Google Play الأخرى
تفيد Zscaler أنه خلال الشهرين الماضيين، اكتشفت أيضًا أكثر من 90 تطبيقًا ضارًا على Google Play، والتي تم تثبيتها بشكل جماعي 5.5 مليون مرة.
تنتحل معظم التطبيقات الضارة أدوات، وتطبيقات التخصيص، وأدوات التصوير الفوتوغرافي، والإنتاجية، وتطبيقات الصحة واللياقة البدنية.
عائلات البرامج الضارة الخمس التي تهيمن على المشهد هي Joker، وFacestealer، وAnatsa، وCoper، والعديد من برامج الإعلانات المتسللة.
البرامج الضارة لـ Google Play (يسار) وأنواع تطبيقات القطارة (يمين)
المصدر: Zscaler
على الرغم من أن Anatsa وCoper يمثلان 3% فقط من إجمالي التنزيلات الضارة من Google Play، إلا أنهما أكثر خطورة بكثير من الآخرين، حيث أنهما قادران على القيام بعمليات احتيال على الجهاز وسرقة معلومات حساسة.
عند تثبيت تطبيقات جديدة على Google Play، راجع الأذونات المطلوبة وارفض تلك المرتبطة بالأنشطة عالية الخطورة مثل خدمة إمكانية الوصول والرسائل النصية القصيرة وقائمة جهات الاتصال.
ولم يكشف الباحثون عن أسماء أكثر من 90 تطبيقًا وما إذا كان قد تم إبلاغ Google بإزالتها أم لا.
ومع ذلك، في وقت كتابة هذا المقال، تمت إزالة تطبيقي Anatsa dropper اللذين اكتشفهما Zscaler من Google Play.
