El troyano bancario de Android conocido como anatsa ha ampliado su enfoque para incluir a Eslovaquia, Eslovenia y Chequia como parte de una nueva campaña observada en noviembre de 2023.
«Algunos de los droppers de la campaña explotaron con éxito el servicio de accesibilidad, a pesar de los mecanismos mejorados de detección y protección de Google Play», ThreatFabric dicho en un informe compartido con The Hacker News.
«Todos los droppers de esta campaña han demostrado la capacidad de eludir la configuración restringida del servicio de accesibilidad en Android 13». La campaña, en total, involucra cinco goteros con más de 100.000 instalaciones totales.
También conocido con el nombre de TeaBot y Toddler, se sabe que Anatsa se distribuye bajo la apariencia de aplicaciones aparentemente inofensivas en Google Play Store. Estas aplicaciones, llamadas droppers, facilitan la instalación del malware al eludir las medidas de seguridad impuestas por Google que buscan otorgar permisos confidenciales.
En junio de 2023, la empresa holandesa de seguridad móvil reveló una campaña de Anatsa dirigida a clientes bancarios en EE. UU., Reino Unido, Alemania, Austria y Suiza al menos desde marzo de 2023 utilizando aplicaciones cuentagotas que se descargaron colectivamente más de 30.000 veces en Play Store.
Anatsa viene equipado con capacidades para obtener control total sobre los dispositivos infectados y ejecutar acciones en nombre de la víctima. También puede robar credenciales para iniciar transacciones fraudulentas.
La última iteración observada en noviembre de 2023 no es diferente en el sentido de que uno de los droppers se hizo pasar por una aplicación de limpieza de teléfonos llamada «Phone Cleaner – File Explorer» (nombre del paquete «com.volabs.androidcleaner») y aprovechó una técnica llamada control de versiones para presentar su comportamiento malicioso.
Si bien la aplicación ya no está disponible para descargar desde la tienda oficial para Android, aún se puede descargar a través de otras fuentes de terceros incompletas.
De acuerdo a Estadísticas Disponible en la plataforma de inteligencia de aplicaciones AppBrain, se estima que la aplicación se descargó unas 12.000 veces durante el tiempo que estuvo disponible en Google Play Store entre el 13 y el 27 de noviembre, cuando no se publicó.
«Inicialmente, la aplicación parecía inofensiva, sin código malicioso y su servicio de accesibilidad no participaba en ninguna actividad dañina», dijeron los investigadores de ThreatFabric.
«Sin embargo, una semana después de su lanzamiento, una actualización introdujo código malicioso. Esta actualización alteró la funcionalidad AccessibilityService, permitiéndole ejecutar acciones maliciosas como hacer clic automáticamente en botones una vez que recibió una configuración del [command-and-control] servidor.»
Lo que hace que el cuentagotas sea notable es que su abuso del servicio de accesibilidad está diseñado para dispositivos Samsung, lo que sugiere que fue diseñado para apuntar exclusivamente a los teléfonos fabricados por la compañía en algún momento, aunque se ha descubierto que otros cuentagotas utilizados en la campaña son independientes del fabricante. .
Los droppers también son capaces de eludir la configuración restringida de Android 13 imitando el proceso utilizado por los mercados para instalar nuevas aplicaciones sin tener deshabilitado el acceso a las funcionalidades del servicio de accesibilidad, como se observó anteriormente en el caso de servicios de dropper como SecuriDropper.
«Estos actores prefieren ataques concentrados en regiones específicas en lugar de una propagación global, cambiando periódicamente su enfoque», dijo ThreatFabric. «Este enfoque específico les permite concentrarse en un número limitado de organizaciones financieras, lo que genera un gran número de casos de fraude en poco tiempo».
El desarrollo se produce cuando Fortinet FortiGuard Labs detalló otra campaña que distribuye el troyano de acceso remoto SpyNote imitando un servicio legítimo de billetera de criptomonedas con sede en Singapur conocido como imToken para reemplazar las direcciones de billetera de destino con otras controladas por actores y realizar transferencias de activos ilícitos.
«Como gran parte del malware de Android actual, este malware abusa de la API de accesibilidad», afirma la investigadora de seguridad Axelle Apvrille. dicho. «Esta muestra de SpyNote utiliza la API de Accesibilidad para apuntar a billeteras criptográficas famosas».