Thought Leadership
Sicherheitsforscher von Zscaler haben 77 bösartige Apps mit über 19 Millionen Downloads im Google Play Store entdeckt. Der Banking-Trojaner Anatsa hat dabei seine Angriffsmethoden deutlich verfeinert.
Die Experten des Zscaler ThreatLabz-Teams schlagen Alarm: Sie haben Google über 77 schädliche Anwendungen im Play Store gemeldet, die zusammen mehr als 19 Millionen Mal heruntergeladen wurden. Das Spektrum der Bedrohungen reicht von Adware über bekannte Malware-Familien wie Joker und Harly bis hin zu hochentwickelten Banking-Trojanern.
Anatsa erweitert seinen Aktionsradius massiv
Besonders ins Visier der Forscher geriet der Banking-Trojaner Anatsa (auch TeaBot genannt), der seine Angriffsmethoden seit seiner Entdeckung im Jahr 2020 kontinuierlich weiterentwickelt hat. Während sich die Malware anfangs auf 650 Finanzinstitute in Europa, den USA und Großbritannien konzentrierte, hat sie ihren Wirkungskreis mittlerweile auf über 831 Institutionen weltweit ausgedehnt.
Deutschland, Südkorea und Kryptowährungsplattformen stehen nun ebenso im Fadenkreuz der Cyberkriminellen. Allein die als Köder dienenden Anatsa-Apps wurden mehr als 50.000 Mal aus dem Play Store heruntergeladen – ein beunruhigendes Zeichen für die Reichweite der Kampagne.
Raffinierte Tarnung umgeht Google-Kontrollen
Die Angreifer setzen auf eine Dropper-Technik: Scheinbar legitime Apps fungieren als Tarnung und laden erst nach der Installation die eigentliche Schadsoftware als vermeintliches Update von einem Command-and-Control-Server nach. Durch diese nachgelagerte Payload-Verteilung entgehen die Kriminellen den Erkennungsmechanismen des Play Stores.
Zusätzlich erschweren häufige Änderungen der Paketnamen und Installations-Hashes die Identifikation durch Sicherheitssysteme. Die Malware bleibt so länger unentdeckt im Umlauf.
Neue Verschleierungstechniken erhöhen Gefahr
Im Vergleich zu früheren Kampagnen nutzt Anatsa nun dynamisch generierte DES-Schlüssel, die statischen Analyse-Tools deutlich mehr Widerstand entgegensetzen. Die Hauptnutzlast wurde um eine neue Keylogger-Variante erweitert und setzt auf einen bekannten Android APK Zip Obfuscator zur Verschleierung.
Die DEX-Payload versteckt sich in einer JSON-Datei, die dynamisch ausgeliefert und schnell wieder gelöscht wird. Dabei nutzt die APK ein beschädigtes Archiv mit ungültigen Komprimierungs- und Verschlüsselungsflags. Da statische Analysetools auf Standard-ZIP-Header-Checks in Java-Bibliotheken angewiesen sind, können sie die Anwendung nicht ordnungsgemäß analysieren – die Malware kann ungehindert aktiv werden.
Perfide Angriffsmethoden auf Bankdaten
Anatsa setzt auf maßgeschneiderte Phishing-Attacken: Der Trojaner erkennt installierte Finanz-Apps und lädt passende gefälschte Login-Seiten vom C2-Server nach. Diese täuschend echt wirkenden Anmeldemasken dienen dem Abgreifen von Zugangsdaten, während ein Keylogger sämtliche Tastatureingaben überwacht. So können die Kriminellen betrügerische Transaktionen durchführen.
Schutzmaßnahmen für Android-Nutzer
Angesichts der sich ständig weiterentwickelnden Bedrohungslage empfehlen Sicherheitsexperten Android-Nutzern erhöhte Wachsamkeit. Vor der Installation von Apps sollten die angeforderten Berechtigungen kritisch geprüft werden – diese müssen zur beworbenen Funktionalität der Anwendung passen.
Mehrstufige Sicherheitslösungen können die Indicators of Compromise von Anatsa auf verschiedenen Ebenen erkennen und blockieren. Angesichts der Professionalität und Reichweite der Kampagnen wird deutlich: Der Kampf gegen moderne Mobile-Malware erfordert sowohl technische Schutzmaßnahmen als auch ein geschärftes Bewusstsein der Nutzer für potenzielle Bedrohungen.
(lb/Zscaler)
