Anatsa, также известный как TeaBot, — банковский троян для Android, впервые обнаруженный в 2020 году. По данным отчёта, вредонос продолжает представлять существенную угрозу пользователям финансовых приложений: от первоначально ориентированных примерно на ~650 финансовых учреждений злоумышленники расширили таргетинг более чем на 831 организацию, включив в список новые страны и криптовалютные платформы.
Что делает Anatsa
Trojan известен широтой функционала и целевыми возможностями, среди которых:
- кража учетных данных пользователей;
- регистрация нажатий клавиш (keylogging);
- содействие мошенническим транзакциям;
- ориентация на банковские приложения, финансовые организации и криптоплатформы.
Ключевые изменения в новых версиях
Недавняя версия Anatsa демонстрирует заметные изменения в подходе к заражению и доставке полезной нагрузки:
- упрощённый процесс установки полезной нагрузки — вместо динамической загрузки кода в формате Dalvik (DEX) вредонос переходит на прямую установку payload;
- использование сложных методов антианализа: расшифровка строк во время выполнения с применением динамически генерируемого ключа стандарта шифрования данных (DES), что затрудняет статический анализ;
- реализованы проверки эмуляции и модели устройства для препятствования динамическому анализу в защищённых средах.
Эти изменения свидетельствуют о целенаправленных усилиях разработчиков вредоносного ПО по повышению устойчивости к обнаружению и длительному закреплению на заражённых устройствах.
Распространение и масштаб угрозы
Anatsa расширил список жертв — в него вошли новые страны, в том числе Германия и Южная Корея, а также многочисленные криптовалютные платформы. Одновременно исследование ThreatLabZ от Zscaler обнаружило масштабное использование легитимных каналов распространения:
ThreatLabZ от Zscaler выявил 77 вредоносных приложений из различных семейств, которые в совокупности собрали более 19 миллионов установок через Google Play Store.
Это подчёркивает тревожную тенденцию: злоумышленники всё активнее маскируют свои приложения под легитимные и распространяют их через официальные магазины, добиваясь широкой инсталляции.
Последствия для пользователей и отрасли
Эволюция Anatsa показывает, что банковские трояны становятся более изощрёнными — они не только расширяют географию и список целевых сервисов, но и совершенствуют техники уклонения от детектирования. Рост числа инсталляций вредоносных приложений через Google Play Store служит напоминанием о сложности задач, стоящих перед платформами распространения и системами защиты.
Рекомендации для пользователей
- обновляйте ОС и приложения своевременно;
- устанавливайте приложения только из доверенных источников и внимательно проверяйте права, которые запрашивают приложения;
- включите встроенные механизмы защиты (например, Google Play Protect) и при необходимости используйте проверенные мобильные решения безопасности;
- будьте осторожны с ссылками и файлами из сообщений и не доверяйте подозрительным уведомлениям от якобы банковских приложений.
Сохранение бдительности и соблюдение простых правил цифровой гигиены остаются ключевыми мерами защиты от таких угроз, как Anatsa.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Anatsa, также известный как TeaBot - банковский троян Android".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.