ThreatFabricは6月26日(米国時間)、「Anatsa banking Trojan hits UK, US and DACH with new campaign」において、悪意のあるAndroidアプリがGoogle Playストアから配信されているとして、注意を呼び掛けた。「Anatsa」と呼ばれるバンキング型トロイの木馬を配信するサイバー攻撃が特定されている。

Google PlayストアでAnatsaを配信する複数の継続的なドロッパキャンペーンが発見された。現在進行中のキャンペーンとみられており、主な標的は米国、英国、DACH(ドイツ、オーストリア、スイス)の銀行とされている。Androidバンキングアプリから顧客の認証情報を盗み出し、不正な取引を始めるためのデバイス乗っ取り(DTO: Device-Takeover)攻撃を実行することが目的とされ、Anatsaのターゲットリストには世界中の約600のバンキングアプリが含まれているという。なお、不正アプリのダウンロード数はすでに3万を超えていることが確認されている。

Anatsa Mobile Banking Trojan Capablilites|ThreatFabric

Google Playストアで見つかったAnatsaドロッパアプリは次のとおり。

PDF Reader - Edit & View PDF(lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)

PDF Reader & Editor(com.proderstarler.pdfsignature)

PDF Reader & Editor(moh.filemanagerrespdf)

All Document Reader & Editor(com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)

All Document Reader and Viewer(com.muchlensoka.pdfcreator)

Anatsa droppers in Google Play store on a timeline|ThreatFabric

ドロッパアプリは更新後に悪意のある機能が追加されており、異なる開発者アカウントで管理されていることがわかった。不正なアプリは複数確認されているが、実際にキャンペーンに使われるアプリは1つだけで、その他のアプリはキャンペーンのバックアップとして公開されていたという。長期間キャンペーンを維持するための戦術とみられており、アプリが削除されたら別のドロッパアプリを更新して配布を続けるのではないかと分析されている。

Anatsaによる最新のキャンペーンは、現代のデジタル社会における銀行や金融機関が直面する脅威の一つといえる。モバイル詐欺の潜在的なリスクの大きさが示されており、対抗するための予防策を講じることが求められている。