El troyano Anatsa Android se dirige a las víctimas en EE. UU. y Europa

Se identificó una campaña reciente de malware para Android, cuyo objetivo es distribuir el troyano bancario Anatsa y apuntar a clientes de instituciones financieras en los Estados Unidos, Reino Unido, Alemania, Austria y Suiza desde marzo de 2023.

Según ThreatFabric, el grupo detrás de Anatsa tiene la intención de robar las credenciales de inicio de sesión utilizadas en las aplicaciones de banca móvil y participar en el fraude de adquisición de dispositivos (DTO) para realizar transacciones fraudulentas. La empresa de ciberseguridad mencionó que las aplicaciones de cuentagotas infectadas con Anatsa, que se encontraron en Google Play Store, ya acumulan más de 30,000 instalaciones. Esto indica que la tienda de aplicaciones oficial se ha convertido en un medio eficaz para distribuir el malware.

Anatsa, también conocida como TeaBot y Toddler, surgió inicialmente a principios de 2021 y se ha observado disfrazándose de aplicaciones de utilidad inofensivas como lectores de PDF, escáneres de códigos QR y aplicaciones de autenticación de dos factores (2FA) en Google Play Store para extraer los datos de los usuarios. cartas credenciales. Desde entonces, se ha convertido en uno de los troyanos bancarios más difundidos y se dirige a más de 400 instituciones financieras en todo el mundo.

El troyano posee capacidades similares a las de una puerta trasera para extraer datos y utiliza ataques superpuestos para robar credenciales y registrar las actividades de los usuarios al explotar la API de servicios de accesibilidad de Android. Además, puede eludir las medidas de control de fraude existentes para ejecutar transferencias de fondos no autorizadas.

ThreatFabric señaló que la detección de Anatsa ha demostrado ser un desafío para los sistemas bancarios antifraude, ya que las transacciones fraudulentas se inician desde el mismo dispositivo que utilizan regularmente los clientes bancarios objetivo.

Modo de funcionamiento de Anatsa

En la campaña reciente observada por ThreatFabric, la aplicación cuentagotas, una vez instalada, envía una solicitud a una página de GitHub que redirige a otra URL de GitHub que aloja la carga maliciosa. El objetivo es engañar a las víctimas presentándose como complementos de la aplicación. Se sospecha que los usuarios son dirigidos a estas aplicaciones a través de anuncios sospechosos.

Una característica notable del cuentagotas es su explotación del permiso restringido "REQUEST_INSTALL_PACKAGES", que ha sido repetidamente abusado por aplicaciones maliciosas distribuidas a través de Google Play Store para instalar malware adicional en dispositivos infectados. Los nombres de las cinco aplicaciones cuentagotas utilizadas en esta campaña son los siguientes:

• Lector y editor de todos los documentos (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Lector y visor de todos los documentos (com.muchlensoka.pdfcreator)
• Lector de PDF: edite y vea PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• Lector y editor de PDF (com.proderstarler.pdfsignature)
• Lector y editor de PDF (moh.filemanagerrespdf)

Todas estas aplicaciones cuentagotas se actualizaron después de su lanzamiento inicial, probablemente como un intento de introducir sigilosamente una funcionalidad maliciosa después de pasar con éxito el proceso de revisión de la aplicación durante el primer envío.

Los países de gran interés para Anatsa, según la cantidad de aplicaciones financieras específicas, incluyen Estados Unidos, Italia, Alemania, Reino Unido, Francia, Emiratos Árabes Unidos, Suiza, Corea del Sur, Australia y Suecia. Finlandia, Singapur y España también se mencionan en la lista de países objetivo.