Skadevare rammer de fleste plattformer, og mobil er intet unntak. Nå har sikkerhetsforskere kommet med en ny oppdatering om en av de farligste truslene på Android-plattformen.
Sikkerhetsselskapet Zscaler har i lang tid fulgt en Android-skadevare døpt Anatsa, også kalt Teabot, og rapporterer nå på nettsidene sine at skadevaren har vokst både i omfang og ferdigheter siden sist.
Stor tilstedeværelse i Europa
Ifølge Zscaler retter Anatsa-programmet seg nå mot hele 831 finansinstitusjoner over hele verden, opp fra rundt 650 i den forrige oppdateringen – som Digi skrev om i fjor.
Blant de nye landene på listen er Tyskland, og tidligere prøver av skadevaren har også blitt oppdaget i finske applikasjoner. Norge er ikke eksplisitt nevnt, men gitt at skadevaren generelt har en sterk tilstedeværelse I Europa, er den verdt å være oppmerksom på.
Anatsa/Teabot er en sofistikert skadevare som bruker «dropper»-applikasjoner i Google Play-butikken som infeksjonsmetode.
Disse applikasjonene har ofte legitim funksjonalitet og fremstår som ufarlige. Straks brukeren installerer dem på mobilen, henter skadevaren imidlertid ned en ondsinnet last som er kamuflert som en legitim oppdatering, forklarer Zscaler.
Denne metoden setter skadevaren i stand til å omgå beskyttelsene i Google Play og gjør den vanskelig å oppdage.
Henter ut sensitive bankdata
Appene som brukes som lokkeapplikasjoner, har ofte ulike typer nyttefunksjonalitet, og en av appene som Zscaler la ved som et eksempel, er en enkel dokumentleser-app.
Selve skadevaren har flere typer funksjonalitet og kan blant annet hente ut sensitive data fra bankapplikasjoner og finansiell informasjon fra globale finansapplikasjoner.
_logo.svg.png){kind=logo}
.jpg)
Dataene hentes ut blant annet via «overlay»-funksjonalitet, hvor ofrene lures til å gi fra seg data via falske vinduer fra tilsynelatende legitime institusjoner, eksempelvis banker. Den har også «keylogging»-funksjonalitet som setter den i stand til å registrere brukerens tastetrykk.
I denne seneste kampanjen som Zscaler omtaler, har Anatsa/Teabot også fått seg noen oppgraderinger som gjør den enda vanskeligere å oppdage.
Skjuler instruksjoner
Den er nå utstyrt med evnen til å dekryptere instruksjoner når programmet kjører, i stedet for å lagre instruksjonene i lesbar form i koden sin – noe som gjør den vrien å oppdage med statiske analyseverktøy, opplyser sikkerhetsselskapet.
I tillegg er skadevaren i stand til å sjekke om den kjører i et testmiljø eller på en ekte enhet, ved å verifisere enhetsmodellen.
Etter å ha trålt Google Play, har Zscaler oppdaget og rapportert 77 ondsinnede applikasjoner fra ulike skadevarefamilier. Disse har til sammen blitt installert 19 millioner ganger, men skal nå være fjernet av Google.
Sikkerhetsselskapet har ikke sagt akkurat hvor mange av disse Anatsa/Teabot står for, men skadevaren er uansett en av de hyppigst forekommende familiene på Google Play. Det er fremdeles adware som utgjør mesteparten av skadevaren på Google Play, med en andel på 66 prosent.
Flere detaljer kan man finne i Zscalers fullstendige gjennomgang.
.jpg)
Android-skadevaren kan stjele data fra hundrevis av bankapplikasjoner
