الصفحات
بحث
فيروس Anatsa يتسلل إلى متجر Google Play لاستهداف البنوك الأمريكية
الأمن السيبراني #Anatsa #GooglePlay

فيروس Anatsa يتسلل إلى متجر Google Play لاستهداف البنوك الأمريكية

تاريخ النشر: آخر تحديث: 40 مشاهدة 0 تعليق 3 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
40 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

في الآونة الأخيرة، تمكن فيروس Anatsa المصرفي من التسلل إلى متجر Google Play مرة أخرى عبر تطبيق يتظاهر بأنه عارض PDF، والذي حقق أكثر من 50,000 تحميل.

Android malware Anatsa infiltrates Google Play to target US banks
Android malware Anatsa infiltrates Google Play to target US banks

كيف يعمل فيروس Anatsa

يصبح الفيروس نشطًا على الجهاز مباشرة بعد تثبيت التطبيق، حيث يتتبع المستخدمين الذين يفتحون تطبيقات البنوك في أمريكا الشمالية ويعرض لهم واجهة مزيفة تتيح الوصول إلى حساباتهم، وتسجيل ضغطات المفاتيح، أو أتمتة المعاملات.

وفقًا للباحثين في Threat Fabric الذين رصدوا الحملة الأخيرة وأبلغوا Google، يظهر Anatsa للمستخدمين رسالة مزيفة عند فتح التطبيقات المستهدفة، تخبرهم بوجود صيانة مجدولة في نظام البنك.

يتم عرض الإشعار فوق واجهة المستخدم الخاصة بتطبيق البنك، مما يحجب نشاط الفيروس في الخلفية ويمنع الضحايا من الاتصال بالبنك أو التحقق من حساباتهم للمعاملات غير المصرح بها.

App on Google Play that delivered Anatsa to its users
App on Google Play that delivered Anatsa to its users

تاريخ أنشطة فيروس Anatsa

تقوم Threat Fabric بتتبع Anatsa على Google Play منذ سنوات، حيث اكتشفت العديد من عمليات التسلل تحت أدوات مساعدة أو إنتاجية مزيفة. حققت حملة تم اكتشافها في نوفمبر 2021 300,000 تحميل، بينما حققت حملة أخرى في يونيو 2023 30,000 تحميل، وحملة أخرى في فبراير 2024 وصلت إلى 150,000 تحميل.

في مايو 2024، أفادت شركة Zscaler للأمن المحمول أن Anatsa قد حقق تسللًا آخر على متجر التطبيقات الرسمي لأندرويد، مع تطبيقين يتظاهران بأنهما قارئ PDF وقارئ QR، وجمعا معًا 70,000 تحميل.

التطبيق الذي اكتشفته Threat Fabric على Google Play هذه المرة هو 'Document Viewer – File Reader'، الذي نشرته 'Hybrid Cars Simulator, Drift & Racing.'

يستخدم الباحثون تكتيكًا خفيًا أظهره مشغلو Anatsa في حالات سابقة أيضًا، حيث يحتفظون بالتطبيق 'نظيفًا' حتى يحقق قاعدة مستخدمين كبيرة.

بمجرد أن يصبح التطبيق شائعًا بما فيه الكفاية، يقومون بإدخال كود ضار عبر تحديث يجلب حزمة Anatsa من خادم بعيد ويثبتها كتطبيق منفصل.

ثم يتصل Anatsa بالتحكم في الأوامر (C2) ويتلقى قائمة بالتطبيقات المستهدفة لمراقبتها على الجهاز المصاب.

تم تسليم فيروس Anatsa عبر التطبيق الأخير بين 24 و30 يونيو، بعد ستة أسابيع من إصداره الأول على المتجر.

لقد أزالت Google التطبيق الضار من المتجر منذ ذلك الحين.

إذا قمت بتثبيت التطبيق، يُنصح بإلغاء تثبيته على الفور، وإجراء فحص كامل للنظام باستخدام Play Protect، وإعادة تعيين بيانات اعتماد حسابك المصرفي.

يجد Anatsa بانتظام طرقًا للتسلل إلى Google Play، لذا يجب على المستخدمين الوثوق فقط بالتطبيقات من ناشرين موثوقين، والتحقق من مراجعات المستخدمين، والانتباه إلى الأذونات المطلوبة، والحفاظ على عدد التطبيقات المثبتة على جهازهم في الحد الأدنى الضروري.

تحديث 7/8 - أرسل متحدث باسم Google تعليقًا إلى BleepingComputer جاء فيه:

“تمت إزالة جميع هذه التطبيقات الضارة المحددة من Google Play. يتم حماية المستخدمين تلقائيًا بواسطة Google Play Protect، الذي يمكنه تحذير المستخدمين أو حظر التطبيقات المعروفة التي تظهر سلوكًا ضارًا على أجهزة Android مع خدمات Google Play.” - متحدث باسم Google

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##Anatsa ##GooglePlay ##Malware

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!