.png)
Tổng quan
Anatsa nổi tiếng với việc nhắm mục tiêu vào người dùng các ứng dụng tài chính. Trong khi các chiến dịch trước đây nhắm mục tiêu vào hơn 650 tổ chức tài chính ở các khu vực bao gồm châu Âu, Mỹ và Vương quốc Anh, các chiến dịch gần đây của Anatsa đã mở rộng đáng kể phạm vi này lên đến hơn 831 tổ chức tài chính trên toàn cầu, bao gồm hơn 150 ứng dụng ngân hàng và tiền điện tử mới.
Phiên bản mới nhất của Anatsa đã đơn giản hóa việc phân phối payload bằng cách thay thế việc tải code động của các payload Dalvik Executable (DEX) từ xa bằng việc cài đặt trực tiếp payload Anatsa. Nhiều ứng dụng Antasta giả mạo phân phối trên Google Play đã đạt tới hơn 50.000 lượt tải xuống. Cùng với Anatsa, các nhà nghiên cứu Zscaler đã xác định và báo cáo 77 ứng dụng độc hại từ nhiều nhóm phần mềm độc hại khác nhau cho Google, chiếm tổng cộng hơn 19 triệu lượt cài đặt.
Anatsa sử dụng kỹ thuật dropper, trong đó kẻ tấn công tạo một ứng dụng mồi nhử trong cửa hàng Google Play trông có vẻ vô hại. Sau khi cài đặt, Anatsa âm thầm tải xuống một payload độc hại được ngụy trang dưới dạng bản cập nhật từ máy chủ điều khiển và ra lệnh (C2) của tin tặc. Phương pháp này cho phép phần mềm độc hại này vượt qua cơ chế phát hiện của Google Play và lây nhiễm thành công vào các thiết bị.
.png)
Hình 1. Ứng dụng mồi nhử Anatsa trên cửa hàng Google Play
Phân tích kỹ thuật
Không giống như các chiến dịch trước, các chiến dịch Anatsa mới nhất triển khai nhiều kỹ thuật chống phân tích khác nhau. Trình cài đặt gốc hiện giải mã từng chuỗi bằng khóa DES được tạo động, điều này có thể gây cản trở các công cụ phân tích tĩnh hiệu quả hơn. Hơn nữa, Anatsa đã tăng cường các chiến lược né tránh thông qua thực hiện kiểm tra mô phỏng và xác minh mô hình thiết bị để vượt qua các môi trường phân tích động.
Sau khi xác nhận máy chủ C2 đang hoạt động và thiết bị đáp ứng các tiêu chí cần thiết, trình cài đặt sẽ tiến hành tải xuống Anatsa dưới dạng bản cập nhật. Nếu các điều kiện này không được đáp ứng, ứng dụng sẽ hiển thị giao diện quản lý tệp cho người dùng, duy trì giao diện của một ứng dụng hợp lệ.
.png)
Hình 2. Ví dụ về hành vi của trình cài đặt Anatsa tùy thuộc vào kết quả kiểm tra chống phân tích
Để tránh bị phát hiện trên các hệ thống bị nhiễm, tên gói ứng dụng và mã băm cài đặt sẽ được thay đổi định kỳ. Payload core đã được cập nhật để tích hợp một biến thể keylogger mới của Anatsa. Ngoài ra, phần mềm độc hại này còn sử dụng một trình mã hóa ZIP APK Android nổi tiếng để tăng cường khả năng né tránh. Payload DEX ẩn trong một tệp JSON, tự động xóa khi chạy và xóa ngay sau khi được tải.
APK sử dụng một kho lưu trữ bị lỗi để ẩn tệp DEX, được triển khai trong thời gian runtime. Kho lưu trữ này có các cờ nén và mã hóa không hợp lệ, khiến các công cụ phân tích tĩnh khó phát hiện. Vì các công cụ này phụ thuộc vào các kiểm tra header ZIP trong thư viện Java và không thể xử lý ứng dụng. Tuy nhiên, các ứng dụng vẫn chạy được trên các thiết bị Android tiêu chuẩn.
.png)
Hình 3. Header của kho lưu trữ bị lỗi được Anatsa sử dụng nhằnm trốn tránh phân tích
Sau khi cài đặt, Anatsa yêu cầu người dùng cấp quyền truy cập. Nếu được cấp, phần mềm độc hại sẽ tự động kích hoạt tất cả các quyền được chỉ định trong tệp manifest, bao gồm: SYSTEM_ALERT_WINDOW, READ_SMS, RECEIVE_SMS, USE_FULL_SCREEN_INTENT. Anatsa kết nối với máy chủ để yêu cầu các lệnh cụ thể và mã hóa giao tiếp C2 bằng khóa XOR một byte (66 ở dạng thập phân). Cấu trúc JSON sau đây chứa ví dụ về dữ liệu cấu hình của Anatsa.
.png)
Hình 4. Cấu trúc JSON chứa ví dụ về dữ liệu cấu hình của Anatsa
Phần mềm độc hại chủ yếu đánh cắp thông tin đăng nhập bằng cách hiển thị các trang đăng nhập ngân hàng giả mạo, được tải xuống từ máy chủ C2 của nó. Các trang này thiết kế riêng dựa trên các ứng dụng của tổ chức tài chính được phát hiện trên thiết bị của người dùng.
Danh sách các tổ chức tài chính và các trang web bị Anatsa nhắm mục tiêu dường như vẫn đang trong quá trình hoàn thiện và tiếp tục được bổ sung. Trong số 831 ứng dụng bị nhắm mục tiêu theo dõi, nhiều trang web bị tấn công này chưa hoàn chỉnh hoặc không khả dụng.
Xu hướng trên Google Play
Cùng với Anatsa, các nhà nghiên cứu đã xác định và báo cáo 77 ứng dụng độc hại thuộc nhiều họ phần mềm độc hại khác nhau cho Google, chiếm tổng cộng hơn 19 triệu lượt cài đặt.
.png)
Hình 5. Phân tích các loại ứng dụng Android độc hại phổ biến nhất trên Google Play
.png)
Hình 6. Phân tích các nhóm phần mềm độc hại thường gặp nhất trên Google Play
Các nhà nghiên cứu nhận thấy sự gia tăng mạnh mẽ của các ứng dụng phần mềm quảng cáo trên Google Play cùng với các phần mềm độc hại như Joker, Harly và Trojan ngân hàng như Anatsa. Ngược lại, có sự suy giảm đáng kể của các họ phần mềm độc hại như Facestealer và Coper.
Kết luận
Anatsa tiếp tục phát triển và cải tiến với các kỹ thuật chống phân tích để tránh bị phát hiện tốt hơn. Phần mềm độc hại này cũng bổ sung hỗ trợ cho hơn 150 ứng dụng tài chính mới để nhắm mục tiêu. Nghiên cứu của Zscaler chứng minh các kỹ thuật mà Anatsa và các nhóm phần mềm độc hại Android khác tận dụng để phân phối thông qua cửa hàng Google Play chính thức. Để bảo vệ mình, người dùng Android chú ý xác minh các quyền mà ứng dụng yêu cầu và đảm bảo chúng phù hợp với chức năng dự định của ứng dụng.
