El troyano bancario de Android conocido como anatsa<\/strong> ha ampliado su enfoque para incluir a Eslovaquia, Eslovenia y Chequia como parte de una nueva campa\u00f1a observada en noviembre de 2023.<\/p>\n “Algunos de los droppers de la campa\u00f1a explotaron con \u00e9xito el servicio de accesibilidad, a pesar de los mecanismos mejorados de detecci\u00f3n y protecci\u00f3n de Google Play”, ThreatFabric dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n “Todos los droppers de esta campa\u00f1a han demostrado la capacidad de eludir la configuraci\u00f3n restringida del servicio de accesibilidad en Android 13”. La campa\u00f1a, en total, involucra cinco goteros con m\u00e1s de 100.000 instalaciones totales.<\/p>\n Tambi\u00e9n conocido con el nombre de TeaBot y Toddler, se sabe que Anatsa se distribuye bajo la apariencia de aplicaciones aparentemente inofensivas en Google Play Store. Estas aplicaciones, llamadas droppers, facilitan la instalaci\u00f3n del malware al eludir las medidas de seguridad impuestas por Google que buscan otorgar permisos confidenciales.<\/p>\n En junio de 2023, la empresa holandesa de seguridad m\u00f3vil revel\u00f3 una campa\u00f1a de Anatsa dirigida a clientes bancarios en EE. UU., Reino Unido, Alemania, Austria y Suiza al menos desde marzo de 2023 utilizando aplicaciones cuentagotas que se descargaron colectivamente m\u00e1s de 30.000 veces en Play Store.<\/p>\n Anatsa viene equipado con capacidades para obtener control total sobre los dispositivos infectados y ejecutar acciones en nombre de la v\u00edctima. Tambi\u00e9n puede robar credenciales para iniciar transacciones fraudulentas.<\/p>\n La \u00faltima iteraci\u00f3n observada en noviembre de 2023 no es diferente en el sentido de que uno de los droppers se hizo pasar por una aplicaci\u00f3n de limpieza de tel\u00e9fonos llamada “Phone Cleaner – File Explorer” (nombre del paquete “com.volabs.androidcleaner”) y aprovech\u00f3 una t\u00e9cnica llamada control de versiones para presentar su comportamiento malicioso.<\/p>\n Si bien la aplicaci\u00f3n ya no est\u00e1 disponible para descargar desde la tienda oficial para Android, a\u00fan se puede descargar a trav\u00e9s de otras fuentes de terceros incompletas.<\/p>\n De acuerdo a Estad\u00edsticas<\/a> Disponible en la plataforma de inteligencia de aplicaciones AppBrain, se estima que la aplicaci\u00f3n se descarg\u00f3 unas 12.000 veces durante el tiempo que estuvo disponible en Google Play Store entre el 13 y el 27 de noviembre, cuando no se public\u00f3.<\/p>\n “Inicialmente, la aplicaci\u00f3n parec\u00eda inofensiva, sin c\u00f3digo malicioso y su servicio de accesibilidad no participaba en ninguna actividad da\u00f1ina”, dijeron los investigadores de ThreatFabric.<\/p>\n “Sin embargo, una semana despu\u00e9s de su lanzamiento, una actualizaci\u00f3n introdujo c\u00f3digo malicioso. Esta actualizaci\u00f3n alter\u00f3 la funcionalidad AccessibilityService, permiti\u00e9ndole ejecutar acciones maliciosas como hacer clic autom\u00e1ticamente en botones una vez que recibi\u00f3 una configuraci\u00f3n del [command-and-control] servidor.”<\/p>\n Lo que hace que el cuentagotas sea notable es que su abuso del servicio de accesibilidad est\u00e1 dise\u00f1ado para dispositivos Samsung, lo que sugiere que fue dise\u00f1ado para apuntar exclusivamente a los tel\u00e9fonos fabricados por la compa\u00f1\u00eda en alg\u00fan momento, aunque se ha descubierto que otros cuentagotas utilizados en la campa\u00f1a son independientes del fabricante. .<\/p>\n Los droppers tambi\u00e9n son capaces de eludir la configuraci\u00f3n restringida de Android 13 imitando el proceso utilizado por los mercados para instalar nuevas aplicaciones sin tener deshabilitado el acceso a las funcionalidades del servicio de accesibilidad, como se observ\u00f3 anteriormente en el caso de servicios de dropper como SecuriDropper.<\/p>\n “Estos actores prefieren ataques concentrados en regiones espec\u00edficas en lugar de una propagaci\u00f3n global, cambiando peri\u00f3dicamente su enfoque”, dijo ThreatFabric. “Este enfoque espec\u00edfico les permite concentrarse en un n\u00famero limitado de organizaciones financieras, lo que genera un gran n\u00famero de casos de fraude en poco tiempo”.<\/p>\n El desarrollo se produce cuando Fortinet FortiGuard Labs detall\u00f3 otra campa\u00f1a que distribuye el troyano de acceso remoto SpyNote imitando un servicio leg\u00edtimo de billetera de criptomonedas con sede en Singapur conocido como imToken para reemplazar las direcciones de billetera de destino con otras controladas por actores y realizar transferencias de activos il\u00edcitos.<\/p>\n “Como gran parte del malware de Android actual, este malware abusa de la API de accesibilidad”, afirma la investigadora de seguridad Axelle Apvrille. dicho<\/a>. “Esta muestra de SpyNote utiliza la API de Accesibilidad para apuntar a billeteras criptogr\u00e1ficas famosas”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/El-troyano-Anatsa-para-Android-evita-la-seguridad-de-Google.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n