ThreatFabricは2月19日(現地時間)、「Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach」において、バンキング型トロイの木馬「Anatsa」を配布するキャンペーンを検出したと伝えた。2023年11月に検出されたこのキャンペーンは、前回の2023年6月のキャンペーンから大きな変化があったという。

  • Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach

    Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach

トロイの木馬「Anatsa」配布の実態

ThreatFabricによると、前回までのAnatsa配布キャンペーンでは、英国、ドイツ、スペインのユーザーを標的としていたが、今回はスロバキア、スロベニア、チェコのユーザーが標的になっているという。Anatsaを配布する脅威アクターはこれら特定の地域のAndroidユーザーを標的として、Google Playの公式サイトからマルウェアを展開できるアプリを配布するとされる。

これら悪意のあるアプリの一部はGoogle Playの強化された検出メカニズムと保護を突破して、アクセシビリティサービスの悪用に成功するという。アクセシビリティサービスはAndroidデバイスを侵害する際に追加の権限をユーザーの許可なく取得するため多くのマルウェアに積極的に悪用されている。

そのため、Googleも複数の対策を実施しており、その一つがアプリの開発者に対してアクセシビリティサービスの使用目的を提出することを求めているというもの。ThreatFabricによるとこの対策は有効で、悪用するアプリは減少したとしている。

しかしながら、今回のキャンペーンで確認されたアプリは、「リソースを消耗するアプリを休止状態にするため」としてGoogleの使用目的の確認をパス。また、悪意のあるコードを排除した状態でアプリを審査にかけることで公式ストアからの配布に成功している。

こうして正常なアプリとして配布されたが、脅威アクターはアプリのアップデートの段階で悪意のあるコードを導入。コマンド&コントロール(C2: Command and Control)サーバから設定を受信することで悪意のある動作を実行できるように変更している。なお、キャンペーンで使用された一部のアプリには「Samsung」のAndroidデバイスだけを標的とするコードが含まれており、Samsungのユーザーだけが攻撃の影響を受けたとされる。

悪意のあるアプリのふるまい

悪意のあるアプリはC2サーバから追加のファイル(DEXファイル)を取得し、メモリ上に展開して実行する。実行された追加のコードはマルウェア「Anatsa」をダウンロードして実行する。

  • マルウェアの実行手順 - 提供:ThreatFabric

    マルウェアの実行手順 - 提供:ThreatFabric

ThreatFabricによると、今回のキャンペーンにより5つの悪意のあるアプリが配布され、合計で100,000回以上ダウンロードされたという。Googleはこの発表を受けてこれらアプリを削除し、AndroidユーザーをGoogle Playプロテクトによって保護したとしている。削除されたアプリは次のとおり。

  • Phone Cleaner - File Explorer (com.volabs.androidcleaner)
  • PDF Viewer - File Explorer (com.xolab.fileexplorer)
  • PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
  • Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
  • PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)

ThreatFabricは2つのキャンペーンの分析から、今後もこの脅威アクターは対象地域を変更して同様のキャンペーンを実施する可能性があるとして注意を呼びかけている。