2025/08/25 SecurityAffairs — Anatsa (Tea Bot) というバンキング・トロイの木馬の感染調査において、Zscaler の ThreatLabz が発見したのは、合計で 1,900 万回以上もインストールされた、77 個の悪意の Android アプリの存在である。複数の Anatsa デコイ・アプリは、それぞれが5万回以上ダウンロードされている。これらの悪意のアプリから、Google Play ユーザーへと、複数のマルウェア・ファミリが配信されていた。
Zscaler ThreatLabz のレポートには、「Anatsa に加えて、様々なマルウェア・ファミリに属する、77 個の悪意あるアプリを特定し、Google に報告した。これらのアプリのインストール数は、合計で 1,900 万回を超えている」と記されている。
2020 年に初めて確認された、バンキング・トロイの木馬 Anatsa は、その後に深刻な脅威へと進化してきた。最新の亜種は、バンキング/フィンテック/暗号通貨などのプラットフォームを含む、世界中の 831 以上の金融機関を標的としており、ドイツや韓国などの国にも感染範囲は拡大している。
以前とは異なり、最近のバージョンは動的なコード読み込みに依存せずに、ペイロードをダイレクトにインストールするため、感染が加速し、阻止が困難になっている。また、検出を回避するために、DES 暗号化とデバイス固有の制限も悪用されている。
Zscaler は、「以前のキャンペーンとは異なり、最新の Anatsa キャンペーンは、様々な分析回避手法を実装している。親インストーラは、動的に生成される DES (Data Encryption Standard) キーを使用し、実行時に各文字列を復号化することで、静的分析ツールに対する耐性を高めている。さらに、Anatsa はエミュレーション・チェックとデバイス・モデル検証を実施することで、動的分析環境を回避する戦略を強化している」と述べている。
このレポートは、「C2 サーバがアクティブであり、デバイスが必要な基準を満たしていることを確認した後に、インストーラにより Anatsa はダウンロード/アップデートされる。これらの条件が満たされない場合に、アプリケーションはファイル・マネージャ・ビューをユーザーに表示し、正規のアプリケーションの外観を維持する (下図を参照)」と続けている。
Anatsa が採用する高度な手法には、パッケージ名とハッシュの定期的な変更/APK ZIP による難読化/静的分析を回避する不正アーカイブへの DEX ペイロードの隠蔽などがある。
このマルウェアは、ユーザーに対してアクセス権限を要求し、危険な権限を自動的に有効化することで、XOR 暗号化された C2 通信を確立する。そして悪意のコードにより、検出されたアプリに応じた偽のログイン・ページを表示し、バンキング認証情報を取得していく。現時点において Anatsa は、831 種類の金融アプリを標的としているが、多くのインジェクション・テンプレートは未完成の状態にある。
Zscaler ThreatLabz の報告によると、Google Play では Joker/Harly/Anatsa などのアドウェアやマルウェアが急増しているが、Facestealer や Coper などは急激に減少しているとのことだ。
このレポートは、「Anatsa は、検出を巧妙に回避するために、分析対策技術を進化させ続けている。さらに、このマルウェアは、標的とする 150 種類以上の新しい金融アプリもサポートしている。我々の調査では、Anatsa などの Android マルウェア・ファミリを、公式 Google Play ストアを通じて配布する手法も明らかにしている。Android ユーザーは、アプリが要求する権限を常に確認し、それらの要求とアプリの本来の機能との一致を確認する必要がある」と締め括っている。
Google Play ストアで配布されていた、77 個の悪意の Android アプリが、1,900 万回以上もインストールされていたようです。その原因として挙げられるのは、正規のアプリに見せかけながら、内部に Anatsa (Tea Bot) とバンキング・トロイの木馬を仕込んでいるマルウェアにあると、この記事は指摘しています。モバイルもデスクトップも同様ですが、アプリのダウンロードは慎重にしなければなりませんね。よろしければ、Google Play で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.