Besitzer von Android-Smartphones werden erneut vom gefährlichen Anatsa angegriffen Banking-Trojaner das mit neuen Funktionen aktualisiert wurde und jetzt noch mehr Banking-Apps ansprechen kann.
Wie berichtet von BleepingComputerdiese neue mobile Malware-Kampagne ist seit März dieses Jahres aktiv und bisher wurden Bankkunden in den USA, Großbritannien, Deutschland, Österreich und der Schweiz von Anatsa angegriffen.
Genau wie bei einer früheren Anatsa-Kampagne vom November 2021, bei der die Malware über 300.000 Mal heruntergeladen wurde, verwenden die Hacker hinter dieser neuen Kampagne Folgendes bösartige Apps gehostet auf der Google Play Store um anfällige Android-Smartphones zu infizieren.
Diese aktualisierte Version des Anatsa-Banking-Trojaners wurde erstmals von Sicherheitsforschern entdeckt ThreatFabric der in einem enthüllte neuer Bericht dass es nun fast 600 verschiedene Banking-Apps übernehmen und Betrug direkt auf einem infizierten Gerät begehen kann.
Eine Reihe großer Banken, darunter JP Morgan, Capital One, TD Bank, Schwab, Navy Federal Credit Union und andere, können von Anatsa angegriffen werden, weshalb dieser Banking-Trojaner eine Bedrohung darstellt, die Android-Benutzer ernst nehmen sollten.
Löschen Sie diese Apps sofort
In ihrem Bericht hoben die Sicherheitsforscher von ThreatFabric fünf der Apps hervor, die von den Hackern hinter dieser Kampagne verwendet werden, um Bankkonten zu übernehmen und zu plündern. Wenn Sie eine dieser Apps auf Ihrem Android-Smartphone installiert haben, wird empfohlen, sie sofort zu deinstallieren. Nachfolgend finden Sie die betreffenden Apps mit ihren Paketnamen:
- PDF-Reader – PDF bearbeiten und anzeigen -lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools
- PDF-Reader und -Editor – com.proderstarler.pdfsignature
- PDF-Reader und -Editor – moh.filemanagerrespdf
- Alle Dokumentenleser und -editoren – com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs
- Alle Dokumentenleser und -betrachter – com.muchlensoka.pdfcreator
Obwohl alle diese Apps inzwischen aus dem Play Store entfernt wurden, müssen Sie sie manuell löschen, wenn Sie eine davon auf Ihrem Smartphone haben.
Katz und Maus spielen
Bereits im März starteten die Cyberkriminellen hinter dieser neuen Anatsa-Kampagne nach einer sechsmonatigen Pause eine separate Malvertising-Kampagne, um für die Apps zu werben, mit denen dieser Banktrojaner abgewehrt wurde.
Genau wie in früheren Anatsa-Kampagnen werden auch in dieser bösartige Apps aus der Kategorie „Büro/Produktivität“ verwendet, die sich als „ PDF-Editoren, Zuschauer und Bürosuiten. Als diese Apps jedoch erstmals an Google übermittelt wurden, enthielten sie keine Malware. Stattdessen wurde die Schadsoftware wie bei der später hinzugefügt AhRat-Malware Dadurch konnten sie im Play Store gelistet werden und die Sicherheitsprüfungen des Suchriesen bestehen.
Während ihrer Untersuchung der Angelegenheit meldeten die Forscher von ThreatFabric jede der gefundenen schädlichen Apps an Google und das Unternehmen entfernte sie aus dem Play Store. Allerdings würden die Hacker dann eine neue App hochladen, um den Banktrojaner Anatsa zu verbreiten.
Einmal auf einem der installiert beste TelefoneAnatsa sammelt zahlreiche Finanzinformationen, darunter Bankkontodaten, Kreditkartendaten, Zahlungsinformationen und mehr. Dies geschieht durch die Verwendung Überlagerungen die beim Start über einer der 600 anvisierten Banking-Apps erscheinen.
Anstatt diese sensiblen Informationen zu stehlen und für später aufzubewahren, nutzt Anatsa sie, um Betrug auf dem Gerät zu begehen, indem es eine der Banking-Apps startet und im Namen der Opfer Transaktionen durchführt. Das spart den Hackern, die hinter dieser Kampagne stehen, Zeit, erhöht aber auch ihre Erfolgsaussichten, da ein Benutzer, der sich in seine Banking-App einloggt und Transaktionen auf dem eigenen Smartphone durchführt, keinen Verdacht erregt.
Alle vom Bankkonto eines Opfers gestohlenen Gelder werden dann in Kryptowährung umgewandelt und durch ein Netzwerk von Money-Mules geleitet, bevor sie an die Hacker zurückgeschickt werden, die hinter dieser Kampagne stehen.
In einer Erklärung gegenüber Tom’s Guide gab ein Google-Sprecher weitere Einblicke in diese neue Anatsa-Kampagne und wie der Suchriese damit umgeht, indem er sagte:
„Alle diese identifizierten schädlichen Apps wurden aus Google Play entfernt und die Entwickler wurden gesperrt. Google Play Protect schützt Benutzer auch, indem es automatisch Apps entfernt, von denen bekannt ist, dass sie diese Malware auf Android-Geräten mit Google Play Services enthalten.“
So schützen Sie sich vor Android-Malware
Wenn es darum geht, sich vor Android-Malware zu schützen, ist das Erste und Wichtigste, was Sie tun sollten: Begrenzen Sie die Anzahl der Apps auf Ihrem Telefon. Selbst scheinbar harmlose Apps können Malware enthalten oder später hinzugefügt werden. Deshalb sollten Sie sich vor der Installation fragen, ob Sie eine bestimmte App wirklich benötigen.
Obwohl Google alle in den Play Store hochgeladenen Apps auf Malware überprüft, schlüpfen fehlerhafte Apps von Zeit zu Zeit durch die Maschen. Aus diesem Grund sollten Sie das Herunterladen kostenloser Apps vermeiden und die Rezensionen und Bewertungen jeder App überprüfen, bevor Sie sie herunterladen. Externe Rezensionen und insbesondere Videorezensionen können sehr hilfreich sein, da sie Ihnen eine App in Aktion zeigen und schwerer zu fälschen sind.
Neben der Begrenzung der Anzahl der von Ihnen installierten Apps sollten Sie auch die Verwendung einer dieser Apps in Betracht ziehen beste Android-Antiviren-Apps auf Ihrem Telefon. Wenn Sie jedoch ein knappes Budget haben, Google Play Protect bietet ähnliche Funktionen und kann alle Ihre vorhandenen Apps und alle neuen, die Sie herunterladen, auf Malware scannen. Es ist außerdem kostenlos und auf den meisten Android-Smartphones vorinstalliert.
Da die Hacker hinter dieser neuesten Anasta-Kampagne offenbar ziemlich schnell sind, wenn es darum geht, neue Apps mit diesem gefährlichen Banking-Trojaner zu infizieren, ist damit zu rechnen, dass auch andere gute Apps bösartig werden, um noch mehr Android-Smartphones mit Malware zu infizieren.