Z njim se goljufi prek zlonamernih aplikacij prijavijo v mobilno banko in izvedejo nakazilo denarja, so pojasnili v centru za kibernetsko varnost SI-CERT.
Raziskovalci podjetja ThreatFabric so pojav Anatse prvič zaznali v prvi polovici preteklega leta. Kot ugotavljajo v poročilu, objavljenem v ponedeljek, se goljufi osredotočajo na tri do pet regij naenkrat in na teh območjih v trgovini za mobilne aplikacije Google Play promovirajo brezplačne aplikacije, v katerih se skriva zlonamerna koda.
Osredotočeni na Slovenijo
V prvi polovici leta 2023 so goljufi z Anatso ciljali na uporabnike v Veliki Britaniji, Nemčiji in Španiji. Zdaj pa naj bi se usmerili na Slovaško, Slovenijo in Češko, kar po oceni raziskovalcev predstavlja novo fazo v delovanju napadalcev.
V tej fazi so raziskovalci do zdaj odkrili prisotnost zlonamerne kode v petih aplikacijah, ki so skupaj zabeležile več kot 100.000 namestitev na pametne telefone, so pojasnili pri ThreatFabric. Po poročanju portala Notebookcheck teh petih aplikacij ni več v trgovini Google Play.
V prvi fazi, ki je zajemala šest aplikacij, so skupno zabeležili več kot 130.000 namestitev.
Gre za na prvi pogled neškodljive aplikacije, ki so med drugim namenjene branju datotek v obliki pdf ali upravljanju datotek na pametnih telefonih. Te aplikacije po navedbah ThreatFabric pogosto dosežejo prva tri mesta v kategoriji priljubljenih novih brezplačnih aplikacij, s čimer krepijo svojo verodostojnost in povečajo možnosti za uspešen vdor v pametne telefone nič hudega slutečih uporabnikov.
Kako deluje?
Nacionalni odzivni center za kibernetsko varnost SI-CERT je sporočil, da skupaj s policijo preiskuje zlonamerni aplikaciji, ki sta bili uporabljeni pri finančnem oškodovanju več žrtev. Kot so pojasnili, gre za aplikaciji, ki prek dodeljenih pravic centra za uporabo storitev dostopnosti (ang. accessibility service) pridobita vse potrebne podatke za odklepanje naprave, prijavo v mobilno banko in izvedbo nakazila denarja.
Zlonamerna aplikacija po pojasnilih centra na kontrolni strežnik pošlje seznam vseh nameščenih aplikacij, na podlagi česar napadalec pripravi lažne strani za krajo prijavnih podatkov. Napadalcu so posebej zanimivi podatki za prijavo v bančne aplikacije.
"Zlonamerna aplikacija čaka, da uporabnik odpre legitimno bančno aplikacijo in mu v tistem trenutku prikaže lažen vstopni obrazec, ki prekriva legitimno bančno aplikacijo ter uporabnika zavede v vpis uporabniškega imena in gesla na lažni strani za krajo podatkov," so poudarili v SI-CERT.
Po do sedaj znanih podatkih centra sta bili zlonamerni aplikaciji dostopni prek trgovine Google Play Store pod imenom Phone Cleaner - File Explorer in PDF Reader: File Manager. Napadalci najprej v trgovini objavijo neškodljivo različico aplikacije, kasneje pa jo posodobijo in ta posodobljena različica aplikacije nato služi kot dostavljavec zlonamerne programske opreme, so pojasnili.
Po podatkih policije je za vse oškodovance enotno, da je bilo prek mobilne banke opravljeno nakazilo finančnih sredstev oškodovancev na druge IBAN račune, od koder je denar potoval v kripto menjalnico, so zapisali v centru SI-CERT.
Uporabnikom, ki so škodljivo aplikacijo prenesli, jo odprli in ji dodelili pravice za dostopnost, svetujejo, da svojo napravo zaženejo v varnem načinu in aplikacijo odstranijo.
Postopek varne odstranitve
"To storijo tako, da držijo tipko za izkop naprave, ki na zaslonu odpre meni z možnostmi za izklop naprave kot pri običajnem postopku izklopa. Za zagon naprave v varnem načinu je nato treba v meniju prikaza držati ikono za izklop, dokler naprava ne ponudi ponovnega zagona v varnem načinu, ki ga uporabnik izbere. V tem načinu se ob vklopu naprave zlonamerna aplikacija ne zažene in uporabnik jo lahko varno odstrani," so pojasnili.
Pri ThreatFabric obenem pozivajo finančne institucije, da svoje stranke nujno poučijo o tveganjih pri nameščanju aplikacij in jih posvarijo pred dodeljevanjem pravic centra za uporabo storitev dostopnosti za aplikacije, ki teh ne potrebujejo za svoje domnevno delovanje.