10/02/20
Киберпреступники организовали фишинговую кампанию, нацеленную на пользователей Android-устройств, в ходе которой заражают смартфоны и планшеты банковским трояном Anubis.
Вредонос способен украсть финансовую информацию из более чем 250 банковских программ и приложений для шопинга.
Злоумышленники отправляют жертвам фишинговые письма со встроенной ссылкой, которая загружает замаскированный под счет-фактуру APK-файл. Когда ссылка на электронную почту открывается с Android-устройства, происходит загрузка APK-файла. После открытия файла пользователю якобы предлагается включить «Google Play Protect», но вместо этого пользователь дает приложению все необходимые разрешения, одновременно отключая защитный сервис.
Оказавшись на Android-устройстве, Anubis начинает собирать информацию об установленных приложениях и сравнивает результаты со списком целевых программ. Anubis в основном нацелен на банковские и финансовые приложения, но также ищет популярные программы для покупок, такие как приложения eBay или Amazon.
Как только Anubis обнаруживает необходимую программу, он заменяет оригинальное окно авторизации на поддельное, чтобы похитить учетные данные пользователя.
В ходе анализа вредоноса специалисты из компании Cofense обнаружили , что банковский троян обладает различными функциями, включая захват скриншотов, отключение и изменение настроек администрирования, отключение встроенной защиты Google Play Protect, запись звука, совершение звонков и отправка SMS-сообщений, доступ к контактам в адресной книге, получение команд от операторов через Telegram и Twitter, управление устройством через систему удаленного доступа к рабочему столу VNC и пр.
Вредоносное ПО также содержит кейлоггер, способного перехватывать нажатия клавиш из любого приложения, установленного на скомпрометированном Android-устройстве. Однако сначала данный модуль должен быть активирован операторами с помощью команды с C&C-сервера.
Anubis также может шифровать файлы во внутреннем хранилище и на внешних дисках с помощью специального модуля-вымогателя, добавляя расширение .AnubisCrypt к зашифрованным файлам и отправляя их на C&C-сервер.
