کمیته رکن چهارم – بدافزار بانکی Anatsa بار دیگر با استفاده از ترفند همیشگی خود، در قالب برنامهای بیخطر در گوگل پلی ظاهر شد و پس از جذب کاربران، اطلاعات بانکی آنها را سرقت کرد.
به گزارش کمیته رکن چهارم، پژوهشگران امنیت سایبری از آغاز کمپینی جدید با استفاده از بدافزار Anatsa علیه کاربران اندروید در آمریکای شمالی خبر دادهاند. این بدافزار با نامهای TeaBot و Toddler نیز شناخته میشود و از سال ۲۰۲۰ تاکنون در حملات مشابهی فعالیت داشته است.
در این کمپین، برنامهای با نام جعلی “Document Viewer – File Reader” در فروشگاه گوگل پلی منتشر شد و با بیش از ۹۰ هزار بار دانلود، در مدت کوتاهی به رتبه چهارم بخش ابزارهای رایگان رسید. اما چند هفته پس از انتشار، یک بهروزرسانی جعلی با عنوان PDF Update به آن اضافه شد که کد مخرب Anatsa را وارد دستگاه قربانی میکرد.
به گفته شرکت ThreatFabric، بدافزار پس از نصب، با استفاده از تکنیکهایی نظیر صفحهجعلی، ضبط کلیدهای فشردهشده و اجرای خودکار تراکنشهای بانکی، اقدام به سرقت اطلاعات کاربران میکرد. همچنین پیامهای جعلی تعمیرات سیستم بانکی هنگام ورود کاربران به اپلیکیشنهای مالی باعث میشد قربانی از فعالیتهای غیرعادی مطلع نشود و پیگیریهای امنیتی به تأخیر بیفتد.
یک منبع مطلع از این پرونده که به دلایل امنیتی نخواست نامش فاش شود به کمیته رکن چهارم گفت: «الگوی حمله Anatsa ثابت است؛ ابتدا یک اپلیکیشن واقعی و کاربردی منتشر میشود، سپس پس از کسب اعتماد کاربران، بهروزرسانی آلودهای ارائه میگردد که نسخه واقعی بدافزار را روی سیستم نصب میکند.»
این حمله از ۲۴ تا ۳۰ ژوئن ۲۰۲۵ ادامه داشته و برنامه جعلی اکنون از گوگل پلی حذف شده است. شرکت گوگل نیز اعلام کرد: تمام برنامههای مخرب شناساییشده از پلتفرم حذف و کاربران توسط سرویس Google Play Protect محافظت میشوند.
پژوهشگران امنیتی هشدار دادهاند که بهدلیل سابقه موفقیت Anatsa در مخفیکاری و استفاده از تکنیکهای متنوع، سازمانهای مالی باید خطرات بالقوه را جدی گرفته و اقدامات پیشگیرانه بیشتری اتخاذ کنند.
