Yaqinda aniqlangan zararli Android ilova Google Play Store’da oddiy document reader sifatida ko‘rinib, aslida foydalanuvchilarni mashhur Anatsa banking trojan bilan zararlagani ma’lum bo‘ldi. Ushbu ilova o‘chirib tashlanishidan oldin 10 000 dan ortiq yuklab olinib ulgurgan bo‘lib, bu uning keng miqyosda tarqalganini ko‘rsatadi.
Mazkur zararli ilova rasmiy Google Play platformasida joylashtirilgan bo‘lib, foydalanuvchilarda hech qanday shubha uyg‘otmagan. Aynan shu ishonch faktoridan foydalanib, hujumchilar malware’ni keng tarqatishga erishgan. ThreatLabz tadqiqotchilari ushbu kampaniyani tahlil qilib, u Anatsa (TeaBot) banking trojan’ni tarqatishga qaratilganini aniqladi. Ushbu malware foydalanuvchilarning moliyaviy ma’lumotlari, login va boshqa maxfiy ma’lumotlarini o‘g‘irlash uchun maxsus ishlab chiqilgan.
Ilova o‘rnatilgandan so‘ng darhol zararli faoliyatni boshlamaydi. U dastlab dropper sifatida ishlaydi va keyinchalik masofaviy serverdan asosiy payload’ni yuklab oladi. Bu usul xavfsizlik tizimlarini chalg‘itish va dastlabki tekshiruvlardan o‘tib ketish uchun ishlatiladi.
Asosiy texnik indikatorlar quyidagilar:
- Installer SHA256: 5c9b09819b196970a867b1d459f9053da38a6a2721f21264324e0a8ffef01e20
- Payload URL: http://23.251.108[.]10:8080/privacy.txt
- Payload SHA256: 88fd72ac0cdab37c74ce14901c5daf214bd54f64e0e68093526a0076df4e042f
"“privacy.txt” kabi oddiy fayl nomidan foydalanish malware’ga aniqlanishdan qochish va foydalanuvchini shubhalantirmaslik imkonini beradi."
Muvaffaqiyatli o‘rnatilgandan so‘ng, Anatsa payload bir nechta command-and-control (C2) serverlarga ulanadi va u yerdan buyruqlarni qabul qiladi hamda o‘g‘irlangan ma’lumotlarni uzatadi.
Aniqlangan C2 manzillar quyidagilar:
Ushbu serverlar orqali hujumchilar zararlangan qurilmalarni masofadan boshqaradi, qo‘shimcha payload’lar yuklaydi va credential o‘g‘irlash operatsiyalarini amalga oshiradi.
Anatsa Capabilities and Risks
Anatsa — bu juda rivojlangan banking trojan bo‘lib, u asosan moliyaviy ilovalarni nishonga oladi. Uning asosiy imkoniyatlari quyidagilarni o‘z ichiga oladi:
- Banking ilovalarda overlay hujumlari orqali login va parollarni o‘g‘irlash
- Keylogging va ekran tasvirlarini olish
- SMS xabarlarni ushlab qolish, jumladan bir martalik parollar (OTP)
- Firibgarlik tranzaksiyalarini amalga oshirish
Malware ko‘pincha accessibility service’dan foydalanib yuqori darajadagi ruxsatlarni qo‘lga kiritadi va shu orqali fon rejimida yashirin ishlaydi.
"Bu holat yana bir bor shuni ko‘rsatadiki, hatto rasmiy ilova do‘konlari ham to‘liq xavfsiz emas."
Ushbu voqea yana bir muhim tendensiyani ko‘rsatadi — hujumchilar Google Play kabi ishonchli platformalarga oddiy ko‘rinishdagi ilovalarni joylashtirib, zararli funksiyalarni keyinchalik yuklash orqali aniqlanishdan qochmoqda. Bu esa xavfsizlik tizimlarini chetlab o‘tishning yangi usullaridan biridir.
Google tomonidan taqdim etilgan Play Protect kabi himoya mexanizmlariga qaramay, hujumchilar o‘z taktikasini doimiy ravishda rivojlantirib, yangi bypass usullarini qo‘llamoqda.
Foydalanuvchilar va tashkilotlarga quyidagi choralar tavsiya etiladi: kam baholangan yoki noma’lum developer’lardan ilova o‘rnatmaslik, ilova ruxsatlarini diqqat bilan tekshirish, ayniqsa accessibility service so‘rovlariga e’tibor berish, mobil xavfsizlik vositalaridan foydalanish va qurilmalarni muntazam yangilab borish.
