Anatsa banku Trojas zirga atdzimšana ir radījusi bažas kiberdrošības ekspertu vidū, jo tā ir vērsta pret Eiropas finanšu iestādēm, radot ievērojamus draudus mobilo banku drošībai. Pēdējo četru mēnešu laikā Anatsa kampaņa ir demonstrējusi dinamisku attīstību, turklāt pieci atšķirīgi viļņi ir vērsti uz konkrētiem reģioniem, tostarp Slovākiju, Slovēniju un Čehiju, papildus iepriekšējiem mērķiem, piemēram, Apvienotajai Karalistei, Vācijai un Spānijai.
Krāpšanas atklāšanas uzņēmums ThreatFabric atklāja Anatsa banku Trojas zirga atjaunošanos 2023. gada novembrī
Jaunākā Anatsa kampaņas iterācija, ko atklāja ThreatFabric, demonstrē izsmalcinātu darbības veidu. Tas izmantoja vairākas taktikas, lai iefiltrētos mobilajās ierīcēs un veiktu ļaunprātīgas darbības. Neskatoties uz uzlabotajiem noteikšanas un aizsardzības mehānismiem pakalpojumā Google Play, Anatsa pilinātāji ir veiksmīgi izmantojuši AccessibilityService. Tas viņiem ļāva automatizēt lietderīgās kravas uzstādīšanu.
Viens no ievērojamākajiem nesenās Anatsa kampaņas aspektiem ir ražotāja specifiska koda izmantošana, kas paredzēta Samsung ierīcēm. Šī pielāgotā pieeja iesaka apdraudējuma dalībnieku stratēģisku pielāgošanos, lai maksimāli palielinātu ļaunprātīgās programmatūras ietekmi. Lai gan kampaņa tieši ietekmēja Samsung lietotājus šajā fāzē, līdzīgas taktikas draudi, kas vērsti pret citiem ierīču ražotājiem, joprojām rada bažas.
Anatsa kampaņa ir efektīvi apieta AccessibilityService ierobežojumus, ko uzliek Android 13
Turklāt Anatsa kampaņa ir efektīvi apieta Android 13 noteiktos ierobežojumus, ļaujot pilinātājiem instalēt lietderīgās kravas, vienlaikus izvairoties no atklāšanas. Šis paņēmiens kopā ar dinamiski ielādētiem DEX failiem uzlabo ļaunprātīgas programmatūras slepenās iespējas. Tas rada izaicinājumus drošības dzinējiem un palielina veiksmīgu infekciju risku.
Ļaunprātīgas programmas iespējamais ierīces pārņemšanas risks rada nopietnus draudus, jo katra instalācija palielina krāpnieciskas darbības un nesankcionētas piekļuves sensitīvai informācijai risku.
Beeping Computer ir atzīmējis piecas lietojumprogrammas, kas ir saistītas ar Anatsa kampaņu. Tajos ietilpst tālruņa tīrītājs — failu pārlūks (com.volabs.androidcleaner), PDF skatītājs — failu pārlūks (com.xolab.fileexplorer), PDF lasītājs — skatītājs un redaktors (com.jumbodub.fileexplorerpdfviewer), tālruņa tīrītājs: File Explorer (com. appiclouds.phonecleaner) un PDF lasītājs: failu pārvaldnieks (com.tragisoap.fileandpdfmanager).
Google ir reaģējusi uz šo lietu
Google pārstāvis ir informējis BeepingComputer, ka Google Play ir noņēmis visas piecas ar šo kampaņu saistītās lietotnes. Viņš piebilda, ka Google Play Protect jau aizsargā Android ierīces pret zināmām šīs ļaunprogrammatūras versijām. Tas pēc noklusējuma ir ieslēgts Android ierīcēs ar Google Play pakalpojumiem.
