Anatsa Android Trojan prende di mira le vittime negli Stati Uniti e in Europa

È stata identificata una recente campagna di malware Android, con l'obiettivo di distribuire il trojan bancario Anatsa e colpire i clienti di istituti finanziari negli Stati Uniti, Regno Unito, Germania, Austria e Svizzera dal marzo 2023.

Secondo ThreatFabric, il gruppo dietro Anatsa intende rubare le credenziali di accesso utilizzate nelle app di mobile banking e impegnarsi in Device-Takeover Fraud (DTO) per effettuare transazioni fraudolente. La società di sicurezza informatica ha affermato che le app dropper infette da Anatsa, che sono state trovate su Google Play Store, hanno già accumulato oltre 30.000 installazioni. Ciò indica che l'app store ufficiale è diventato un mezzo efficace per distribuire il malware.

Anatsa, noto anche come TeaBot e Toddler, è emerso inizialmente all'inizio del 2021 ed è stato osservato camuffarsi da app di utilità innocue come lettori PDF, scanner di codici QR e app di autenticazione a due fattori (2FA) sul Google Play Store per estrarre gli utenti credenziali. Da allora è diventato uno dei trojan bancari più diffusi, prendendo di mira più di 400 istituti finanziari in tutto il mondo.

Il trojan possiede funzionalità simili a backdoor per estrarre dati e utilizza attacchi overlay per rubare credenziali e registrare le attività degli utenti sfruttando l'API dei servizi di accessibilità di Android. Inoltre, può aggirare le misure di controllo delle frodi esistenti per eseguire trasferimenti di fondi non autorizzati.

ThreatFabric ha sottolineato che il rilevamento di Anatsa si è dimostrato impegnativo per i sistemi antifrode bancari, poiché le transazioni fraudolente vengono avviate dallo stesso dispositivo regolarmente utilizzato dai clienti bancari presi di mira.

Modalità di funzionamento di Anatsa

Nella recente campagna osservata da ThreatFabric, l'app dropper, una volta installata, invia una richiesta a una pagina GitHub che reindirizza a un altro URL GitHub che ospita il payload dannoso. L'obiettivo è ingannare le vittime presentandosi come componenti aggiuntivi dell'app. Si sospetta che gli utenti vengano indirizzati a queste app tramite pubblicità sospette.

Una caratteristica notevole del dropper è il suo sfruttamento dell'autorizzazione limitata "REQUEST_INSTALL_PACKAGES", che è stata ripetutamente abusata da app dannose distribuite tramite Google Play Store per installare malware aggiuntivo su dispositivi infetti. I nomi delle cinque app contagocce utilizzate in questa campagna sono i seguenti:

• Lettore ed editor di tutti i documenti (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
• Lettore e visualizzatore di tutti i documenti (com.muchlensoka.pdfcreator)
• Lettore PDF - Modifica e visualizza PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
• Lettore ed editor PDF (com.proderstarler.pdfsignature)
• Lettore ed editor PDF (moh.filemanagerrespdf)

Tutte queste app dropper sono state aggiornate dopo il loro rilascio iniziale, probabilmente come tentativo di introdurre furtivamente funzionalità dannose dopo aver superato con successo il processo di revisione dell'app durante il primo invio.

I paesi di interesse significativo per Anatsa, in base al numero di richieste finanziarie mirate, includono Stati Uniti, Italia, Germania, Regno Unito, Francia, Emirati Arabi Uniti, Svizzera, Corea del Sud, Australia e Svezia. Anche la Finlandia, Singapore e la Spagna sono citate nell'elenco dei paesi presi di mira.