Anubis Android Malware est de retour avec plus de 17 000 échantillons

android

android

Lors du suivi de l’activité du Malware Android, Trend Micro a rencontré deux serveurs associés contenant 17 490 échantillons d’Anubis. Après avoir analysé deux échantillons, les chercheurs ont découvert qu’ils avaient utilisé certaines URL et analysé un fichier XML pour télécharger une application malveillante. Anubis a ensuite utilisé ce malware pour cibler 188 applications liées au secteur bancaire et à la finance, dont la grande majorité était basée en Pologne, en Australie, en Turquie et en Allemagne. Ce sujet fait partie des actualités hight tech du moment sur mup mag.

Comment fonctionne Anubis

Dans son analyse, Trend Micro a identifié deux étiquettes dans les échantillons – OperatörGüncellemesi (qui signifie « Opérateur Update» en turc) et Google Services – et a expliqué que les gestionnaires d’Anubis les utilisaient probablement comme des leurres d’ingénierie sociale. Malgré tout, les échantillons portant une autre étiquette avaient des routines légèrement différentes. Par exemple, les analystes devaient décompresser les variantes portant l’étiquette Google Services avant de pouvoir accéder à leurs fonctionnalités de vol d’informations. Ils n’avaient pas besoin d’exécuter cette étape pour les variantes d’OperatörGüncellemesi.

Anubis est capable de détourner une activité spécifique (où une application commence son processus). Il surveille l’activité des applications ciblées et, une fois qu’il a déterminé que ces applications sont ouvertes ou en cours d’utilisation, le malware peut utiliser la fonctionnalité WebView pour afficher le contenu de ces applications sur une page Web. Cela peut ensuite être utilisé pour appliquer des techniques de superposition pour voler des données de paiement ou utilisé comme vecteur d’attaque pour le phishing. Anubis peut également surveiller les notifications et envoyer les chaînes d’informations contenues dans la notification au serveur C & C.

Ces échantillons d’Anubis contiennent une liste d’applications financières ciblées à partir desquelles il dérive des données personnelles et financières. Anubis cible au total 188 applications liées au secteur bancaire et au secteur financier, dont beaucoup se trouvent en Pologne, en Australie, en Turquie, en Allemagne, en France, en Italie, en Espagne, aux États-Unis et en Inde.

Google Play

Evolution d’Anubis depuis 2018

En juillet 2018, IBM X-Force a signalé que plusieurs développeurs avaient conçu des téléchargeurs de logiciels malveillants pour Anubis et d’autres logiciels malveillants Android dans le magasin Google Play. En janvier, Trend Micro a découvert deux applications supplémentaires sur Google Play contenant le programme malveillant. Dans les deux cas, Anubis a exploité les données des capteurs de mouvement comme moyen d’évasion. Ces informations circulaient quelques mois seulement avant que Bleeping Computer fasse état d’une nouvelle variante d’Anubis contenant un module de ransomware. Les menaces mobiles de 2018 comprenaient des chevaux de Troie bancaires qui diversifiaient leurs tactiques et techniques pour échapper à la détection et monétisaient davantage les logiciels malveillants. Anubis a connu plusieurs changements depuis son apparition, passant d’un cyber-espionnage à un malware informatique, combinant des routines de vol d’informations et de ransomware. À la mi-janvier 2019, Anubis a utilisé une multitude de techniques, notamment l’utilisation de capteurs basés sur le mouvement pour échapper à l’analyse et les superpositions pour voler des informations personnellement identifiables. Les derniers échantillons d’Anubis (détectés par Trend Micro sous AndroidOS_AnubisDropper) détectés récemment ne sont pas différents. Lors du suivi des activités d’Anubis, deux serveurs liés contenant 17 490 échantillons ont été découverts.

Comment se défendre contre Android Malware

Le moyen le plus simple de lutter contre les logiciels malveillants Android tels qu’Anubis consiste à suivre les meilleures pratiques de sécurité mobiles, telles que la mise à jour des logiciels. Les solutions qui exploitent l’intelligence artificielle peuvent également contribuer à accroître la précision de l’analyse manuelle des menaces mobiles à grande échelle.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.