Ce dangereux cheval de Troie bancaire utilise maintenant la maintenance programmée pour dissimuler ses activités malveillantes — ne tombez pas dans le piège

This dangerous banking trojan now uses scheduled maintenance to hide its malicious activities — don’t fall for this

Ce dangereux cheval de Troie bancaire utilise maintenant la maintenance programmée pour dissimuler ses activités malveillantes — ne tombez pas dans le piège

Même si vous vous en tenez aux magasins d'applications officiels, vous pourriez télécharger une application malveillante. C'est exactement ce qui est arrivé à 50 000 utilisateurs Android qui ont accidentellement installé un dangereux cheval de Troie bancaire sur leurs appareils. Selon un rapport de BleepingComputer, le cheval de Troie bancaire Anatsa est de retour dans le cadre d'une nouvelle campagne utilisant une application malveillante se faisant passer pour un lecteur PDF pour infecter les utilisateurs des meilleurs téléphones Android. Cette découverte a été faite par les chercheurs en sécurité de Threat Fabric, qui suivent Anatsa depuis des années. Ce cheval de Troie bancaire est souvent caché dans des utilitaires populaires et a été téléchargé près d'un million de fois à ce jour. Ce qui rend ce malware particulièrement dangereux, c'est qu'il cible spécifiquement les applications bancaires et financières populaires. De JP Morgan à Capital One en passant par TD Bank, Anatsa peut les imiter toutes grâce à des attaques par superposition. Alors que vous pensez vous connecter à votre compte bancaire, si votre téléphone est infecté, vous donnez en réalité vos identifiants à des pirates qui peuvent ensuite vider vos comptes et voler votre argent durement gagné. Voici tout ce que vous devez savoir sur cette dernière campagne d'Anatsa, ainsi que des conseils pour protéger vos appareils contre les malwares Android.

Dissimulé dans une application en apparence inoffensive Bien qu'elle ait depuis été supprimée, les chercheurs de Threat Fabric ont récemment découvert le cheval de Troie bancaire Anatsa caché dans une application de lecteur PDF sur le Google Play Store, intitulée "Document Viewer – File Reader" et publiée par le développeur "Hybrid Cars Simulator, Drift & Racing". Selon un nouveau rapport, plus de 50 000 utilisateurs Android ont téléchargé cette application malveillante avant son retrait. Si vous l'avez téléchargée, vous devez immédiatement la supprimer manuellement de votre téléphone.

Comme pour d'autres applications malveillantes, Threat Fabric a constaté que celle-ci utilisait une tactique sournoise : l'application était "propre" jusqu'à ce qu'elle atteigne un nombre suffisant d'utilisateurs. Une fois populaire, ses créateurs ou des pirates ayant détourné l'application y ont ajouté du code malveillant via une mise à jour. Ce code injecté contient le cheval de Troie bancaire Anatsa, qui s'installe sur un appareil Android vulnérable comme une application distincte. En se connectant à un serveur contrôlé par des pirates, le malware obtient une liste d'applications cibles, puis les recherche sur l'appareil infecté. Si l'une d'elles est trouvée, des attaques par superposition sont utilisées pour voler les identifiants des utilisateurs.

Cette dernière campagne introduit une nouvelle astuce pour empêcher les utilisateurs d'agir avant qu'il ne soit trop tard. Vous connaissez ces messages d'erreur "en maintenance programmée" que vous voyez souvent lorsque vous essayez de vérifier votre solde ? Anatsa les affiche désormais également sur vos applications bancaires légitimes pour dissimuler ses activités malveillantes en arrière-plan. Et lorsque le message disparaît, vos identifiants bancaires ont déjà été volés.

Google a depuis supprimé la dernière application malveillante propageant Anatsa du Play Store. Cependant, si vous l'avez téléchargée, vous devez la supprimer et effectuer une analyse complète du système avec Google Play Protect. Il est également recommandé de réinitialiser vos identifiants bancaires au cas où ils seraient tombés entre de mauvaises mains.

Comment se protéger des malwares Android Bien que je recommande souvent de s'en tenir aux magasins d'applications officiels et d'éviter le sideloading, cela ne suffit pas toujours en raison des applications malveillantes. Même si vous êtes très prudent lors de l'installation de nouvelles applications, vous pourriez accidentellement infecter votre téléphone Android avec un malware. C'est pourquoi il est essentiel d'examiner attentivement toute application avant de l'installer. Vérifiez sa note et ses avis sur le Play Store, et comme ceux-ci peuvent être falsifiés, recherchez également des avis externes sur d'autres sites. Les vidéos de test sont encore plus fiables si vous en trouvez, car elles vous donnent une meilleure idée du fonctionnement réel de l'application.

Phần mềm độc hại ngân hàng Anatsa giờ đây sử dụng thông báo bảo trì để che giấu hoạt động - Đừng mắc bẫy

Ngay cả khi bạn chỉ tải ứng dụng từ cửa hàng chính thức, bạn vẫn có nguy cơ trở thành nạn nhân của phần mềm độc hại. Điều này đã xảy ra với 50.000 người dùng Android khi vô tình cài đặt trojan ngân hàng cực kỳ nguy hiểm Anatsa. Theo báo cáo từ BleepingComputer, Anatsa đã quay trở lại trong một chiến dịch mới sử dụng ứng dụng đọc PDF giả mạo để lây nhiễm vào các thiết bị Android. Phát hiện này được công bố bởi các nhà nghiên cứu bảo mật tại Threat Fabric - đơn vị đã theo dõi Anatsa trong nhiều năm. Trojan ngân hàng này thường ẩn mình trong các tiện ích phổ biến và đã được tải xuống gần một triệu lần.

Điểm nguy hiểm của Anatsa nằm ở khả năng nhắm mục tiêu vào các ứng dụng ngân hàng và tài chính phổ biến. Từ JP Morgan, Capital One đến TD Bank, Anatsa có thể giả mạo tất cả thông qua kỹ thuật tấn công lớp phủ (overlay attack). Khi bạn nghĩ mình đang đăng nhập vào tài khoản ngân hàng, thực chất bạn đang trao thông tin đăng nhập cho hacker - những kẻ có thể dùng chúng để chiếm đoạt tài khoản và tiền bạc của bạn.

Ẩn náu trong ứng dụng vô hại Mặc dù đã bị gỡ bỏ, các nhà nghiên cứu tại Threat Fabric phát hiện Anatsa ẩn mình trong ứng dụng "Document Viewer - File Reader" trên Google Play Store do nhà phát triển "Hybrid Cars Simulator, Drift & Racing" đăng tải. Theo báo cáo, hơn 50.000 người dùng Android đã tải xuống ứng dụng độc hại này trước khi nó bị gỡ. Nếu bạn đã cài đặt ứng dụng này, hãy gỡ bỏ ngay lập tức.

Giống như các ứng dụng độc hại khác, Anatsa sử dụng chiến thuật tinh vi: ứng dụng hoạt động "sạch sẽ" cho đến khi thu hút đủ lượng người dùng. Khi đạt được độ phổ biến nhất định, hacker sẽ chèn mã độc thông qua bản cập nhật. Mã độc này chứa trojan Anatsa được cài đặt như một ứng dụng riêng biệt trên thiết bị Android có lỗ hổng. Kết nối với máy chủ điều khiển bởi hacker, phần mềm độc hại có thể lấy danh sách ứng dụng mục tiêu và tìm kiếm chúng trên thiết bị bị nhiễm. Nếu phát hiện ứng dụng ngân hàng, nó sẽ sử dụng kỹ thuật tấn công lớp phủ để đánh cắp thông tin đăng nhập.

Chiến dịch mới nhất của Anatsa bổ sung thủ thuật mới: hiển thị thông báo "bảo trì hệ thống" giống hệt các ngân hàng thật. Trong khi người dùng tưởng ứng dụng ngân hàng đang bảo trì, Anatsa âm thầm đánh cắp thông tin đăng nhập phía sau. Khi thông báo biến mất, dữ liệu nhạy cảm của bạn đã rơi vào tay hacker.

Google đã gỡ bỏ ứng dụng độc hại phát tán Anatsa khỏi Play Store. Tuy nhiên, nếu bạn đã tải xuống, hãy gỡ cài đặt ngay lập tức và quét toàn bộ hệ thống bằng Google Play Protect. Đồng thời, bạn nên đổi mật khẩu ngân hàng để phòng trường hợp thông tin đã bị rò rỉ.

Cách phòng tránh phần mềm độc hại Android Mặc dù việc chỉ tải ứng dụng từ cửa hàng chính thức được khuyến nghị, điều này không đảm bảo an toàn tuyệt đối trước các ứng dụng độc hại. Do đó, bạn cần kiểm tra kỹ lưỡng trước khi cài đặt bất kỳ ứng dụng nào. Xem xét đánh giá và nhận xét trên Play Store, đồng thời tìm hiểu thêm đánh giá từ các nguồn bên ngoài. Các video đánh giá thực tế là nguồn tham khảo đáng tin cậy hơn cả, giúp bạn có cái nhìn chân thực về hoạt động của ứng dụng.