Anatsa Malware

In den Niederlanden wird ein neuer bedrohlicher und hochentwickelter Android-Banking-Trojaner gegen Benutzer eingesetzt. Die Bedrohung wurde von den Forschern, die die Smishing-Kampagne entdeckt haben, die sie eingesetzt hat, als Anatsa-Malware bezeichnet. Die bedrohlichen Fähigkeiten von Anatsa sind wirklich beeindruckend und gehen weit über das hinaus, was ein normaler Banking-Trojaner ausstattet.

Auf der einfachsten Ebene kann Anatsa Benutzeranmeldeinformationen durch Overlay-Angriffe sammeln. Die Overlays werden heruntergeladen und auf dem infizierten Gerät gespeichert und bei Bedarf lokal gestartet. Die Bedrohung kann Keylogging-Routinen einrichten sowie auf Kontaktinformationen und Gerätedetails zugreifen und diese filtern. Einer der bedrohlichsten Aspekte der Anatsa-Malware ist jedoch ihre Fähigkeit, die Protokollierung der Barrierefreiheit auszunutzen. Infolgedessen kann die Bedrohung Informationen erhalten, die auf dem Bildschirm des Geräts angezeigt werden. Darüber hinaus kann die Malware mit den UI-Elementen interagieren und alle darin angezeigten Informationen aufzeichnen. Der Bedrohungsakteur kann diese Funktionalität der Bedrohung nutzen, um so genannten Betrug auf dem Gerät durchzuführen. Die Cyberkriminellen verwenden das kompromittierte Gerät, um betrügerische Aktivitäten zu begehen.

Die Anatsa-Malware kann auch als RAT (Remote Access Trojan) fungieren. Wenn der Malware-Stamm einen bestimmten Befehl ('start_client') von seinem Command-and-Control-Server empfängt, wird eine Verbindung zu einer bestimmten IP-Adresse und einem bestimmten Port hergestellt. Dieser Kommunikationskanal kann dann vom Bedrohungsakteur genutzt werden, um Daten zu senden und zu empfangen und dem Malware-Tool zusätzliche Befehle zu erteilen. Die Cyberkriminellen können ausgewählte Anwendungen auf dem Gerät stoppen und deinstallieren, Gesten ausführen, das Gerät stummschalten, Google-Authentifizierungscodes sammeln und vieles mehr.

Das Entfernen der Anatsa-Malware kann sich als schwieriger Prozess erweisen. Die Bedrohung verhindert, dass die Opfer die Android-Einstellungen verwenden, um sie zu deinstallieren. Gleichzeitig greift es ein und verhindert, dass der Benutzer das gefährdete Gerät neu startet oder herunterfährt.