Весьма впечатлившее специалистов два года назад вредоносное ПО снова в игре. Anubis в текущем виде содержит модули для шифрования файлов и перехвата нажатия клавиш.
Операторы зловреда организовали фишинговую кампанию, нацеленную на пользователей Android-устройств, в ходе которой заражают смартфоны и планшеты банковским трояном Anubis. Оказавшись на устройстве вирус сканирует 250 имеющих отношение к транзакциям приложений, от мобильных банков до игр и крадет из них финансовую информацию.
Как только Anubis обнаруживает необходимую программу, он заменяет оригинальное окно авторизации на поддельное, чтобы похитить учетные данные пользователя.
Для насильственной установки Anubis злоумышленники отправляют жертвам фишинговые письма со встроенной ссылкой, которая загружает замаскированный под счет-фактуру APK-файл. Когда ссылка на электронную почту открывается с Android-устройства, происходит загрузка APK-файла. После открытия файла пользователю якобы предлагается включить «Google Play Protect», но вместо этого пользователь дает приложению все необходимые разрешения, одновременно отключая защитный сервис.
Anubis также обладает обширным функционалом явно с запасом на будущие кампании: в их числе захват скриншотов и запись нажатых клавиш, отключение и изменение настроек администрирования, отключение встроенной защиты Google Play Protect, запись звука, совершение звонков и отправка SMS-сообщений, доступ к контактам в адресной книге, получение команд от операторов через Telegram и Twitter, управление устройством через систему удаленного доступа к рабочему столу VNC и пр.
В 2018 году специалисты обратили внимание на необычную тактику, которую использовали хакеры для предотвращения запуска Anubis на виртуальных машинах, которые используют ИБ-специалисты для изучения вредоносных программ. Троян анализировал датчики движения мобильного устройства, чтобы убедиться, что оно находится в руках человека. Если приложение в течение длительного времени не получало сигналов об изменении положения в пространстве, то оно не выполняло вредоносных действий.
Читайте также на АКБ:
Троян пишет отзывы от имени пользователя через режим ввода для инвалидов
