Anatsa Android Trojan visa vítimas nos EUA e na Europa

android smartphone

Uma recente campanha de malware para Android foi identificada, com o objetivo de distribuir o trojan bancário Anatsa e atingir clientes de instituições financeiras nos Estados Unidos, Reino Unido, Alemanha, Áustria e Suíça desde março de 2023.

De acordo com o ThreatFabric, o grupo por trás da Anatsa pretende roubar credenciais de login usadas em aplicativos bancários móveis e se envolver em fraude de aquisição de dispositivos (DTO) para realizar transações fraudulentas. A empresa de segurança cibernética mencionou que os aplicativos conta-gotas infectados com Anatsa, encontrados na Google Play Store, já acumularam mais de 30.000 instalações. Isso indica que a loja de aplicativos oficial se tornou um meio eficaz de distribuição do malware.

O Anatsa, também conhecido como TeaBot e Toddler, surgiu inicialmente no início de 2021 e foi observado se disfarçando como aplicativos utilitários inofensivos, como leitores de PDF, scanners de código QR e aplicativos de autenticação de dois fatores (2FA) na Google Play Store para extrair informações dos usuários credenciais. Desde então, tornou-se um dos trojans bancários mais difundidos, visando mais de 400 instituições financeiras em todo o mundo.

O trojan possui recursos de backdoor para extrair dados e utiliza ataques de sobreposição para roubar credenciais e registrar atividades do usuário explorando a API de serviços de acessibilidade do Android. Além disso, pode contornar as medidas de controle de fraude existentes para executar transferências de fundos não autorizadas.

O ThreatFabric apontou que a detecção da Anatsa provou ser um desafio para os sistemas bancários antifraude, uma vez que as transações fraudulentas são iniciadas a partir do mesmo dispositivo usado regularmente pelos clientes bancários visados.

Modo de operação do Anatsa

Na campanha recente observada pelo ThreatFabric, o aplicativo dropper, uma vez instalado, envia uma solicitação para uma página do GitHub que redireciona para outro URL do GitHub que hospeda a carga maliciosa. O objetivo é enganar as vítimas apresentando-se como complementos de aplicativos. Suspeita-se que os usuários sejam direcionados a esses aplicativos por meio de anúncios suspeitos.

Uma característica notável do dropper é a exploração da permissão restrita "REQUEST_INSTALL_PACKAGES", que tem sido repetidamente abusada por aplicativos maliciosos distribuídos pela Google Play Store para instalar malware adicional em dispositivos infectados. Os nomes dos cinco aplicativos conta-gotas usados nesta campanha são os seguintes:

  • Todos os leitores e editores de documentos (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
  • Leitor e visualizador de todos os documentos (com.muchlensoka.pdfcreator)
  • Leitor de PDF - Editar e visualizar PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
  • Leitor e editor de PDF (com.proderstarler.pdfsignature)
  • Leitor e Editor de PDF (moh.filemanagerrespdf)

Todos esses aplicativos conta-gotas foram atualizados após o lançamento inicial, provavelmente como uma tentativa de introduzir furtivamente uma funcionalidade maliciosa depois de passar com sucesso no processo de revisão do aplicativo durante o primeiro envio.

Os países de interesse significativo para a Anatsa, com base no número de aplicações financeiras direcionadas, incluem Estados Unidos, Itália, Alemanha, Reino Unido, França, Emirados Árabes Unidos, Suíça, Coreia do Sul, Austrália e Suécia. Finlândia, Cingapura e Espanha também são mencionados na lista de países-alvo.

Por Zaib
June 27, 2023
Computer Security
Portuguese
June 27, 2023
Computer Security

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.