A ThreatFabric kutatói négy banki trójai családot azonosítottak, amelyek a közelmúltban bukkantak fel. Ráadásul mindegyik ártalmas kód képes volt átjutni a szűrőkön és bekerült a Google Play Áruházba. A négy trójai mindenféle alkalmazástípusban megjelent.

Közülük a legjelentősebb az Anatsa nevű vírus, amely egyedül több mint 200 000 felhasználó telefonjára került rá Észak-Amerikában és Európában a különböző alkalmazásokon keresztól. A másik gyakori trójai változat a Brunhilda volt. A mostani kampány működése nem különbözik túlságosan a korábbi, 2021 során megfigyelt változatoktól.

A korábbi iterációkhoz hasonlóan a Brunhilda a gRPC protokoll segítségével regisztrációs kérelmet küld a C2-nek. A sikeres regisztrációt követően, és az eszközre vonatkozó részletesebb információk közlése után a C2 utasítja a droppert, hogy töltse le és telepítse a hasznos csomagot. Ez aztán hozzáférést szerezhet a bankok alkalmazásához is, anélkül, hogy a felhasználók észrevennék.

A harmadik a Gymdrop, amely egy újabb példa arra, hogy a kiberbűnözők hogyan próbálják meggyőzni az áldozatokat és az észlelőrendszereket arról, hogy az alkalmazásuk legitim. Az alkalmazás weboldalát úgy tervezték, hogy első pillantásra legitimnek tűnjön. Ez azonban csak egy edzőtermi weboldal sablonja, amelyen semmilyen hasznos információ nem található, sőt, még "Lorem Ipsum" helyőrző szöveget is tartalmaz az oldalain. Ez a dropper is megpróbálta meggyőzni az áldozatokat egy hamis frissítés telepítéséről. Ebben az esetben azonban ez sokkal ötletesebb módon történik: a káros kódot az alkalmazással összhangban lévő edzésgyakorlatok új csomagjaként állítják be.

Nem tudni, kikre vadásznak

Az elemzés szerint a fenyegető szereplők csak akkor aktiválják manuálisan a banki trójai telepítését egy fertőzött eszközre, ha a világ egy adott régiójában több áldozatot akarnak becsalogatni. Ez a viselkedés tovább nehezíti a trójaiak automatikus észlelési mechanizmusokkal történő felfedezését. Viszont a kódok annyira szövevényesek, hogy még nem azonosították be, mely országok bankjaira, illetve azok applikációira vadásznak.

Az eredeti listán nincs magyar bank, de van olyan hivatkozás a kódokban, amely alapján a telefonokhoz kapcsolt bankkártyák, illetve akár a levelezőrendszerekhez is hozzáférhettek, hogy onnan lopjanak adatokat.

"Jó alapszabály, hogy mindig ellenőrizzük a frissítéseket, és mindig legyünk nagyon óvatosak, mielőtt hozzáférési szolgáltatások jogosultságait adjuk meg - amelyeket a rosszindulatú hasznos teher a "frissítés" telepítése után kérni fog -, és legyünk óvatosak az olyan alkalmazásokkal, amelyek további szoftverek telepítését kérik" - mondta Dario Durando, a ThreatFabric mobil malware specialistája, aki megosztotta a ZDNet-tel a trójai alkalmazások felismerését segítő stratégiáját. 

A törlendő alkalmazások listája a következő, már egyiket sem lehet letölteni a Google Play Áruházból: