Anatsaمحققان امنیت سایبری یک کمپین بدافزار بانکی اندروید را کشف کرده‌اند که از تروجانی به نام Anatsa برای هدف قرار دادن کاربران در آمریکای شمالی با استفاده از برنامه‌های مخرب منتشرشده در بازار رسمی برنامه‌های گوگل استفاده کرده است.

این دژافزار که خود را به‌عنوان یک “به‌روزرسانی PDF” برای یک برنامه مشاهده اسناد پنهان کرده است، هنگام تلاش کاربران برای دسترسی به برنامه بانکی خود، یک پوشش فریبنده را ارائه می‌دهد و ادعا می‌کند که این سرویس به‌عنوان بخشی از تعمیر و نگهداری برنامه‌ریزی‌شده، موقتاً به حالت تعلیق درآمده است.

شرکت امنیت موبایل هلندی ThreatFabric در گزارشی که با The Hacker News به اشتراک گذاشته است، گفت[۱]: “این حداقل سومین نمونه از تمرکز عملیات Anatsa بر مشتریان بانکداری موبایل در ایالات‌متحده و کانادا است. مانند کمپین‌های قبلی، Anatsa از طریق فروشگاه رسمی گوگل پلی توزیع می‌شود.”

Anatsa که با نام‌های TeaBot و Toddler نیز شناخته می‌شود[۲]، حداقل از سال ۲۰۲۰ فعال بوده و معمولاً از طریق برنامه‌های dropper به قربانیان تحویل داده می‌شود.

اوایل سال گذشته، مشخص شد[۳] که Anatsa کاربران دستگاه‌های اندروید در اسلواکی، اسلوونی و چک را هدف قرار داده است. این کار ابتدا با آپلود برنامه‌های بی‌خطر در قالب برنامه‌های خواندن PDF و پاک‌کننده‌های تلفن در فروشگاه Play و سپس معرفی کد مخرب یک هفته پس از انتشار انجام می‌شد.

Anatsa مانند سایر تروجان‌های بانکی اندروید، قادر است ویژگی‌هایی را در اختیار اپراتورهای خود قرار دهد که برای سرقت اعتبارنامه‌ها از طریق حملات همپوشانی و کی‌لاگر طراحی شده‌اند و کلاه‌برداری تصاحب دستگاه (DTO) را برای شروع تراکنش‌های جعلی از دستگاه‌های قربانی انجام می‌دهند.

ThreatFabric گفت که کمپین‌های Anatsa از یک فرآیند قابل پیش‌بینی اما کارآمد پیروی می‌کنند که شامل ایجاد یک پروفایل توسعه‌دهنده در فروشگاه برنامه و سپس انتشار یک برنامه قانونی است که طبق تبلیغات عمل می‌کند.

این شرکت گفت: “هنگامی‌که برنامه یک پایگاه کاربری قابل‌توجه – اغلب در هزاران یا ده‌ها هزار دانلود – به دست آورد، یک به‌روزرسانی مستقر می‌شود و کد مخرب را در برنامه جاسازی می‌کند. این کد جاسازی‌شده، Anatsa را ​​​​به‌عنوان یک برنامه جداگانه دانلود و روی دستگاه نصب می‌کند.”

این دژافزار سپس فهرستی پویا از مؤسسات مالی و بانکی مورد هدف را از یک سرور خارجی دریافت می‌کند و مهاجمان را قادر می‌سازد تا سرقت اعتبارنامه را برای تصاحب حساب، ثبت کلید یا تراکنش‌های کاملاً خودکار با استفاده از DTO انجام دهند.

عامل مهمی که به Anatsa اجازه می‌دهد از شناسایی شدن فرار کند و همچنین نرخ موفقیت بالایی را حفظ کند، ماهیت چرخه‌ای آن است که در آن حملات با دوره‌های عدم فعالیت درهم‌آمیخته می‌شوند.

Anatsa

برنامه تازه کشف‌شده که مخاطبان آمریکای شمالی را هدف قرار می‌دهد، نمونه‌ای از این استراتژی چندمرحله‌ای محاسبه‌شده برای ارائه تروجان بانکی پس از چند هفته پس از شروع جذب هزاران دانلود است.

این برنامه خود را به‌عنوان برنامه‌ای به نام “Document Viewer – File Reader” (نام بسته APK: “com.stellarastra.maintainer.astracontrol_managerreadercleaner”) جا می‌زند و توسط توسعه‌دهنده‌ای به نام “Hybrid Cars Simulator, Drift & Racing” منتشرشده است. هم برنامه و هم حساب توسعه‌دهنده مرتبط دیگر در فروشگاه Play قابل‌دسترسی نیستند.

آمار Sensor Tower نشان می‌دهد[۴] که این برنامه برای اولین بار در ۷ مه ۲۰۲۵ منتشرشده و در ۲۹ ژوئن ۲۰۲۵ به رتبه چهارم در دسته «برترین ابزارهای رایگان» رسیده است. تخمین زده می‌شود که حدود ۹۰،۰۰۰ بار دانلود شده باشد.

ThreatFabric گفت: «این دراپر از روش کار تثبیت‌شده‌ی Anatsa پیروی کرده است: در ابتدا به‌عنوان یک برنامه‌ی قانونی راه‌اندازی شد، تقریباً شش هفته پس از انتشار به یک برنامه‌ی مخرب تبدیل شد. دوره‌ی توزیع این کمپین کوتاه اما تأثیرگذار بود و از ۲۴ تا ۳۰ ژوئن ادامه داشت.»

طبق گفته‌ی این شرکت، نوع Anatsa همچنین برای هدف قرار دادن مجموعه‌ی وسیع‌تری از برنامه‌های بانکی در ایالات‌متحده پیکربندی شده است که نشان‌دهنده‌ی تمرکز فزاینده‌ی این بدافزار بر بهره‌برداری از نهادهای مالی در منطقه است.

یکی دیگر از ویژگی‌های هوشمندانه‌ی این دژافزار، توانایی آن در نمایش یک اطلاعیه‌ی تعمیر و نگهداری جعلی هنگام تلاش برای دسترسی به برنامه‌ی بانکی هدف است. این تاکتیک نه‌تنها فعالیت مخربی که در داخل برنامه رخ می‌دهد را پنهان می‌کند، بلکه مانع از تماس مشتریان با تیم پشتیبانی بانک نیز می‌شود و درنتیجه تشخیص کلاه‌برداری مالی را به تأخیر می‌اندازد.

ThreatFabric گفت: “آخرین عملیات نه‌تنها دامنه خود را گسترش داد، بلکه به تاکتیک‌های تثبیت‌شده‌ای نیز متکی بود که مؤسسات مالی منطقه را هدف قرار می‌داد. سازمان‌های بخش مالی تشویق می‌شوند تا اطلاعات ارائه‌شده را بررسی کرده و هرگونه خطر یا تأثیر احتمالی بر مشتریان و سیستم‌های خود را ارزیابی کنند.”

به‌روزرسانی

پس از انتشار این خبر، گوگل بیانیه زیر را با The Hacker News به اشتراک گذاشت:

همه این برنامه‌های مخرب شناسایی‌شده از Google Play حذف شده‌اند. کاربران به‌طور خودکار توسط Google Play Protect محافظت می‌شوند، که می‌تواند به کاربران هشدار دهد یا برنامه‌هایی را که به داشتن رفتار مخرب در دستگاه‌های Android با سرویس‌های Google Play شناخته می‌شوند، مسدود کند.

(این خبر پس از انتشار به‌روزرسانی شد تا پاسخی از گوگل را نیز شامل شود.)

 

منابع

[۱] https://www.threatfabric.com/blogs/anatsa-targets-north-america-uses-proven-mobile-campaign-process

[۲] https://thehackernews.com/2023/06/anatsa-banking-trojan-targeting-users.html

[۳] https://thehackernews.com/2024/02/anatsa-android-trojan-bypasses-google.html

[۴] https://app.sensortower.com/overview/com.stellarastra.maintainer.astracontrol_managerreadercleaner?country=US

[۵] https://thehackernews.com/2025/07/anatsa-android-banking-trojan-hits.html