Forscher haben die Verwendung eines Android-Banking-Trojaners entdeckt, um die Finanzinformationen von Benutzern in mehreren Ländern zu sammeln. Der Anatsa-Trojaner, der bereits vor zwei Jahren von derselben Sicherheitsforschungsfirma entdeckt wurde, wurde über einige Apps im Play Store unter dem Deckmantel von Produktivitäts- und Office-Apps eingesetzt und über 30.000 Mal heruntergeladen. Die Malware-Ersteller veröffentlichen saubere Apps im App Store von Google, um einer Entdeckung bei der ersten Überprüfung zu entgehen, und aktualisieren sie dann mit bösartigem Code. Benutzer, die diese infizierten Anwendungen heruntergeladen haben, müssen sie manuell von ihren Smartphones entfernen.
Das Sicherheitsunternehmen ThreatFabric hat Details zum Banking-Trojaner Anatsa veröffentlicht, der einige Anwendungen im Play Store infizierte, die als „Office“-Apps (für Dokumente und Tabellenkalkulationen) sowie PDF-Viewer- und Editor-Apps vermarktet wurden. Nachdem ein Benutzer eine der infizierten Anwendungen installiert hat, stellt er eine Verbindung zu einem GitHub-Server her, um die Malware herunterzuladen, die sich als „Add-on“ für die Apps ausgibt – etwa ein OCR-Tool (Optical Character Recognition) für Dokumente und PDFs zur Firma.
ThreatFabric-Liste einiger Banking-Apps, die vom Trojaner betroffen sindBildnachweis: Screenshot/ThreatFabric
Der Banking-Trojaner wird dann fast 600 Banking-Apps aus mehreren Ländern ins Visier nehmen, darunter die Apps Capital One und JP Morgan Mobile in den USA sowie Banking-Apps aus Australien, Frankreich, Deutschland, Italien, Großbritannien, Südkorea, Schweden und der Schweiz . Es zeigt eine Phishing-Seite auf dem Bildschirm des Benutzers an, wenn dieser versucht, seine Banking-App zu öffnen. Die Malware kann dann Kreditkarteninformationen, Anmeldeinformationen und PIN-Nummern stehlen, indem sie Tastatureingaben protokolliert.
Was den Anatsa-Banking-Trojaner wirklich schändlich macht, ist, dass er die vom Opfer erhaltenen Informationen nutzen kann, um die legitimen Banking-Apps zu laden und Geld von dessen Konto zu überweisen. Das Sicherheitsunternehmen erklärt, dass dies es den Betrugsbekämpfungssystemen der Banken erschwere, die automatisierte, illegale Transaktion zu identifizieren. Laut ThreatFabric werden diese Gelder dann in Form von Kryptowährung an die Anatsa-Betreiber überwiesen.
App Name des Android-Pakets PDF-Reader – PDF bearbeiten und anzeigen lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools PDF-Reader und Editor com.proderstarler.pdfsignature PDF-Reader und Editor moh.filemanagerrespdf All Document Reader und Editor com.mikijaki.documents.pdfreader.xlsx.csv.ppt .docs All Document Reader und Viewer com.muchlensoka.pdfcreator
Benutzer, die die „Dropper“ für den Anatsa-Trojaner installiert haben – identifiziert von ThreatFabric und in der Tabelle oben aufgeführt – müssen diese Apps manuell von ihren Smartphones deinstallieren. Nach Angaben des Sicherheitsunternehmens, das den Trojaner bereits im Jahr 2021 entdeckt hatte, wurden die Apps bereits aus dem Play Store entfernt.
ThreatFabric stellt fest, dass die Entwickler auch nach der Entfernung der mit dem Anatsa-Trojaner infizierten Apps durch Google umgehend eine neue Version der App, erneut getarnt, in den Play Store hochluden. Um sich vor diesen schändlichen Trojanern zu schützen, sollten Benutzer sich für bekannte Apps entscheiden und die Installation von Apps vermeiden, die nur wenige Downloads haben, und gleichzeitig die Benutzerbewertungen auf Berichte über Informationsdiebstahl oder Betrug prüfen.
source – www.gadgets360.com
