Anatsa-Banking-Trojaner bedroht Mobile-Banking-Kunden in Europa

Im Google Play Store tauchen immer wieder Apps mit dem Anatsa-Banking-Trojaner auf, die Kunden in verschiedenen Ländern angreifen. Alleine im ersten Halbjahr wurden sechs Dropper-Apps (also solche Apps, über die der Trojaner verteilt wird) mit 100.000 Installationen gezählt, so die Sicherheitsexperten von Threatfabric. Banken und Finanzdienstleister sollten ihre Kunden über das Risiko der App-Installation aufklären, während die Kunden zurückhaltender bei der Vergabe von Rechten sein sollten, die diese jeweiligen Apps für ihren angeblichen Einsatzzweck gar nicht brauchen.

Eine aktuelle Untersuchung des Mobile Threat Intelligence (MTI)-Teams von ThreatFabric wirft ein Schlaglicht auf die wachsenden Gefahren im mobilen Banking. Im November 2023 wurde ein signifikantes Wiederaufflammen der Anatsa Banking-Trojaner-Kampagne festgestellt, über die zum letzten Mal im Juni 2023 berichtet worden war. In den letzten vier Monaten wurden fünf sehr gezielte Angriffswellen beobachtet, die sich auf verschiedene Regionen konzentrierten, darunter – neben Deutschland, dem Vereinigten Königreich und Spanien – nun auch die Slowakei, Slowenien und die Tschechische Republik.

Bei der Kampagne wurden gezielt Dropper-Apps im Google Play Store eingesetzt, die in den betroffenen Regionen häufig unter den ersten drei Apps in der Kategorie “Top New Free” zu finden waren. Durch diese Strategie konnte die Glaubwürdigkeit der Apps erhöht und die Wachsamkeit der potenziellen Opfer gesenkt werden. Anatsa bediente sich ausgeklügelter Taktiken wie beispielsweise den Accessibility Service zu missbrauchen, einen mehrstufigen Infektionsprozess zu verwenden und die eingeschränkten Einstellungen von Android 13 zu umgehen.

Banking-Trojaner: Banken müssen Awareness bei den Kunden schaffen

Dropper-Apps haben Wege gefunden, diese Einschränkungen zu umgehen, obwohl Google Play die Richtlinien für die Nutzung des Accessibility Service verschärft hat. Ein besonders perfider Trick bestand darin, eine Dropper-App, die als Reinigungs-App getarnt war, nachträglich mit einem schädlichen Code zu versehen, der speziell auf Samsung-Geräte abzielte.

Die Anatsa-Kampagne verdeutlicht die Notwendigkeit für Finanzinstitute, ihre Kundinnen und Kunden über die Risiken der Installation von Apps aus offiziellen Stores aufzuklären und davor zu warnen, den AccessibilityService für nicht benötigte Apps zu aktivieren. Mit über 100.000 Installationen der fünf Dropper-Apps allein in dieser Kampagne wird die von Anatsa ausgehende Bedrohung offensichtlich. Durch die gezielte Strategie der Angreifer, sich auf bestimmte Regionen zu konzentrieren, wird in kurzer Zeit eine hohe Anzahl von Betrugsfällen erreicht.

ThreatFabric betont, wie wichtig es ist, stets über die neuesten Bedrohungen informiert zu sein und proaktive Maßnahmen zu ergreifen. Nur so kann die Infrastruktur für das Mobile Banking nachhaltig geschützt werden. Banken, Sparkassen und Finanzdienstleister können durch die kontinuierliche Überwachung und Analyse von Bedrohungen wie Anatsa Risiken vorhersehen und minimieren. Die Partnerschaft mit ThreatFabric ermöglicht den Zugang zu fortschrittlicher Bedrohungsintelligenz zum Schutz von Vermögenswerten und zur Aufrechterhaltung des Kundenvertrauens in das digitale Banking.tw