โทรจัน Anatsa กำลังขโมยข้อมูลการธนาคารจากผู้ใช้งาน Android ในสหรัฐอเมริกา และในยุโรป

321/66 (IT) ประจำวันพุธที่ 28 มิถุนายน 2566

แคมเปญการโจมตีด้วยมัลแวร์โทรจันธนาคาร Anatsa ในโทรศัพท์มือถือ Android กลับมาใหม่โดยเริ่มตั้งแต่เดือนมีนาคม 2566 โดยมุ่งเป้าไปยังลูกค้าธนาคารระบบออนไลน์ ที่อยู่ในสหรัฐอเมริกา สหราชอาณาจักร เยอรมนี ออสเตรีย และสวิตเซอร์แลนด์ ซึ่งจากข้อมูลของนักวิจัยด้านความปลอดภัยที่ ThreatFabric ซึ่งติดตามแคมเปญที่เป็นอันตรายนี้ โดยพบว่าผู้โจมตีกำลังแพร่กระจายมัลแวร์ผ่านทาง Play Store ซึ่งเป็นแอปสโตร์อย่างเป็นทางการของ Android และมีการติดตั้งมากกว่า 30,000 ครั้งแล้ว ซึ่ง Anatsa เป็นโทรจันที่ใช้ในการจับภาพหน้าจอของ Android เพื่อทำการโมยข้อมูลการเข้าสู่ระบบธนาคาร หรือระบบต่าง ๆ และขโมยข้อมูลส่วนบุคคลอื่น ๆ

โดยนักวิจัยจาก ThreatFabric ได้ค้นพบแคมเปญ Anatsa ก่อนหน้านี้แล้ว บน Google Play  เมื่อเดือนพฤศจิกายน 2021 ซึ่งพบว่ามีการดาวน์โหลดเพื่อติดตั้งโทรจันมากกว่า 300,000 ครั้ง โดยการปลอมแปลงเป็นโปรแกรมสแกน PDF, เครื่องสแกน QR โค้ด, แอป Adobe Illustrator และแอปติดตามการออกกำลังกาย ในเดือนมีนาคม พ.ศ. 2566 หลังจากหายไปหกเดือนในการกระจายมัลแวร์ ผู้คุกคามได้เปิดตัวแคมเปญมัลแวร์โฆษณาใหม่ซึ่งชักนำผู้ที่อาจเป็นเหยื่อให้ดาวน์โหลดแอป Anatsa dropper จาก Google Play และเมื่อใดก็ตามที่ ThreatFabric รายงานแอปที่เป็นอันตรายไปยัง Google แอปดังกล่าวก็จะถูกลบออกจากสโตร์ แต่ผู้โจมตีก็จะกลับมาอย่างรวดเร็วด้วยการอัปโหลด dropper ใหม่ภายใต้รูปไอคอนใหม่อีกครั้ง    

เนื่องจากแคมเปญมัลแวร์ Anatsa กำลังขยายการโจมตีไปยังประเทศอื่น ๆ ผู้ใช้งานจึงต้องระมัดระวังเป็นพิเศษเกี่ยวกับแอปที่ติดตั้งบนอุปกรณ์ Android ซึ่งควรหลีกเลี่ยงการติดตั้งแอปจากผู้เผยแพร่ที่น่าสงสัย แม้ว่าแอปเหล่านั้นจะอยู่ในร้านค้าที่ผ่านการตรวจสอบอย่างดีอย่าง Google Play แล้วก็ตาม ควรตรวจสอบบทวิจารณ์เสมอและดูว่ารูปแบบรายงานบ่งชี้ถึงพฤติกรรมที่เป็นอันตรายหรือไม่ นอกจากนี้ หากเป็นไปได้ ให้หลีกเลี่ยงแอปที่มีการติดตั้งและบทวิจารณ์น้อย และติดตั้งแอปที่เป็นที่รู้จักและอ้างอิงกันทั่วไปในเว็บไซต์แทน

แหล่งข่าว ( https://www.bleepingcomputer.com/news/security/anatsa-android-trojan-now-steals-banking-info-from-users-in-us-uk/ )