戻ってきたAnatsa

Anatsaは、バンキングトロイです。
動作環境はAndroidです。
以前から活動のあるマルウェアで、2023年6月にも更新を伴い活動が観測されていましたが、今回また内容に更新があって、活動が活発化していることが確認されています。
内容を見てみましょう。

• 配布
  配布は、通常のGoogle Playで実施されました。
  Google Playは次々に安全基準を更新し、危険なアプリを配布することがないように進められていますが、それを回避して配布されていました。
  ダウンロード数は少なく見積もって、15万回を超えていました。
  ダウンロード数が多いということで、ダウンロード数ランキングにも登場するほどの状況になっていました。
  そうすると、見た目の安心感が向上し、より一層被害者数を拡大させることとなったと考えられます。
• AccessibilityServiceの悪用
  AccessibilityServiceは、本来の用途以外でマルウェアによく悪用されるものとなっています。
  Anatsaも、AccessibilityServiceを悪用します。
  AccessibilityServiceを要求するアプリに対する審査は、以前よりもさらに厳しくなっているのですが、審査時には無害な状態にしておいて、公開できる状態になってしばらくしてから、アプリを更新して悪意ある機能を追加するような活動も実施されています。
  ちなみに、このAccessibilityServiceを悪用するコード部分は、ファイルとしては端末上に存在することなく動作します。
  C2からダウンロードされたコードは、そのままメモリ上に展開されます。
• 分割ダウンロード
  検出回避のため、悪意あるコードを含む内容は複数回に分割してC2からダウンロードされます。
  悪意のあるコードが必要とする文字列をメモリから読み取る部分、悪意あるコードの部分のインストール操作のための機能部分、ペイロードのURLの部分、ばらばらの要素を集めて動作させる部分などに分割されています。
  URL部分が別の形式になっていますので、別のURLでの展開に切り替えることが容易な構成となっています。
• 制限付き設定機能の回避
  Android13には、制限付き設定機能による保護が提供されています。
  しかし、この機能の効能もAnatsaは回避します。

Anatsaは、感染したデバイスを完全に制御し、被害者に代わってアクションを実行できるデバイス乗っ取り(DTO)機能を備えたバンキング型トロイの木馬です。
現時点では、Anatsaを持ち込んでしまうことが確認された5種のアプリがGoogle Playから削除された状態となっていますが、これで全部なのかはわかりません。

ダウンロード数が多くて人気だから大丈夫だろう、公式ストアからのダウンロードだから大丈夫だろう、などということで思考停止するのでなく、AccessibilityServiceなどの権限を要求された際には、それが必要なのかについて、利用者自身が判断することが必要だということなのですね。

参考記事（外部リンク）：Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach
www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach