Se ha observado una nueva campaña de malware para Android que empuja al troyano bancario Anatsa a clientes bancarios en EE. UU., Reino Unido, Alemania, Austria y Suiza desde principios de marzo de 2023.
«Los actores detrás de Anatsa tienen como objetivo robar las credenciales utilizadas para autorizar a los clientes en las aplicaciones de banca móvil y realizar Fraude de adquisición de dispositivos (DTO) para iniciar transacciones fraudulentas», ThreatFabric dicho en un análisis publicado el lunes.
La compañía holandesa de ciberseguridad dijo que las aplicaciones cuentagotas de Google Play Store infectadas con Anatsa han acumulado más de 30.000 instalaciones hasta la fecha, lo que indica que la tienda oficial de aplicaciones se ha convertido en un vector de distribución eficaz para el malware.
Anatsa, también conocida con el nombre de TeaBot y Toddler, surgió por primera vez en principios de 2021, y se ha observado haciéndose pasar por aplicaciones de utilidad aparentemente inocuas como lectores de PDF, escáneres de códigos QR y aplicaciones de autenticación de dos factores (2FA) en Google Play para desviar las credenciales de los usuarios. Desde entonces, se ha convertido en uno de los programas maliciosos bancarios más prolíficos y se dirige a más de 400 instituciones financieras de todo el mundo.
El troyano presenta capacidades similares a las de una puerta trasera para robar datos y también realiza ataques superpuestos para robar credenciales y registrar actividades al abusar de sus permisos para la API de servicios de accesibilidad de Android. Además, puede eludir los mecanismos de control de fraude existentes para realizar transferencias de fondos no autorizadas.
«Dado que las transacciones se inician desde el mismo dispositivo que utilizan regularmente los clientes del banco objetivo, se ha informado que es muy difícil para los sistemas antifraude bancarios detectarlo», señaló ThreatFabric.
En la última campaña observada por ThreatFabric, la aplicación cuentagotas, una vez instalada, realiza una solicitud a una página de GitHub que apunta a otra URL de GitHub que aloja la carga maliciosa, cuyo objetivo es engañar a las víctimas haciéndose pasar por complementos de la aplicación. Se sospecha que los usuarios son dirigidos a estas aplicaciones a través de anuncios incompletos.
Un aspecto notable del cuentagotas es su uso del permiso restringido «REQUEST_INSTALL_PACKAGES», que ha sido explotado repetidamente por aplicaciones no autorizadas distribuidas a través de Google Play Store para instalar malware adicional en el dispositivo infectado. Los nombres de las aplicaciones son los siguientes:
- Lector y editor de todos los documentos (com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs)
- Lector y visor de todos los documentos (com.muchlensoka.pdfcreator)
- Lector de PDF: edite y vea PDF (lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools)
- Lector y editor de PDF (com.proderstarler.pdfsignature)
- Lector y editor de PDF (moh.filemanagerrespdf)
Se dice que las cinco aplicaciones cuentagotas en cuestión se actualizaron después de su publicación inicial, probablemente en un intento sigiloso de deslizar la funcionalidad maliciosa después de pasar el proceso de revisión de la aplicación durante el primer envío.
La lista de los principales países que son de interés para Anatsa en función de la cantidad de aplicaciones financieras a las que se dirige incluyen EE. UU., Italia, Alemania, el Reino Unido, Francia, los Emiratos Árabes Unidos, Suiza, Corea del Sur, Australia y Suecia. También están presentes en la lista Finlandia, Singapur y España.
«La última campaña de Anatsa revela el panorama de amenazas en evolución que enfrentan los bancos y las instituciones financieras en el mundo digital actual», dijo ThreatFabric. «Las recientes campañas de distribución de Google Play Store […] demostrar el inmenso potencial del fraude móvil y la necesidad de medidas proactivas para contrarrestar tales amenazas».