Desde marzo de 2023, se ha detectado una nueva campaña de malware móvil que promueve el troyano bancario de Android llamado ‘Anatsa’ entre los clientes de banca en línea en Estados Unidos, Reino Unido, Alemania, Austria y Suiza.
Según investigadores de seguridad de ThreatFabric, quienes han estado rastreando esta actividad maliciosa, los atacantes están distribuyendo su malware a través de la Play Store, la tienda oficial de aplicaciones de Android, y ya cuentan con más de 30,000 instalaciones solo mediante este método.
ThreatFabric descubrió una campaña previa de Anatsa en Google Play en noviembre de 2021, cuando el troyano se instaló más de 300,000 veces al hacerse pasar por escáneres de PDF, escáneres de códigos QR, aplicaciones de Adobe Illustrator y aplicaciones de seguimiento de fitness.
Nueva campaña de Anatsa
En marzo de 2023, después de un período de seis meses sin distribución de malware, los actores de amenazas lanzaron una nueva campaña de malvertising que lleva a posibles víctimas a descargar aplicaciones de Anatsa desde Google Play.
Una vez instaladas en el dispositivo de la víctima, las aplicaciones dropper solicitan un recurso externo alojado en GitHub, desde donde descargan los cargadores de Anatsa disfrazados como complementos de reconocimiento de texto para Adobe Illustrator.
Anatsa recopila información financiera como credenciales de cuenta bancaria, detalles de tarjetas de crédito, información de pago, etc., superponiendo páginas de phishing en primer plano cuando el usuario intenta iniciar su aplicación bancaria legítima, así como a través del registro de pulsaciones de teclas.
En su versión actual, el troyano Anatsa tiene como objetivo casi 600 aplicaciones financieras de instituciones bancarias de todo el mundo.
Anatsa utiliza la información robada para llevar a cabo fraudes en el dispositivo, iniciando la aplicación bancaria y realizando transacciones en nombre de la víctima. Esto automatiza el proceso de robo de dinero para los operadores del troyano.
«Según ThreatFabric, dado que las transacciones se inician desde el mismo dispositivo que los clientes bancarios objetivo utilizan regularmente, se ha informado que es muy difícil que los sistemas antifraude bancarios lo detecten», explica ThreatFabric.
Las cantidades robadas se convierten en criptomonedas y se pasan a través de una extensa red de mulas de dinero en los países objetivo, quienes se quedan con una parte de los fondos robados como parte de sus ganancias y envían el resto a los atacantes.
Protección en Android
A medida que las campañas de malware, como Anatsa, amplían su objetivo a otros países, los usuarios deben ser extremadamente vigilantes con las aplicaciones que instalan en sus dispositivos Android.
Los usuarios deben evitar instalar aplicaciones de editores dudosos, incluso si se encuentran en una tienda de confianza como Google Play. Siempre verifiquen las reseñas y busquen si hay patrones de informes que indiquen comportamiento malicioso.
Además, si es posible, eviten las aplicaciones con pocas instalaciones y reseñas, y en su lugar instalen aplicaciones conocidas y citadas comúnmente en sitios web.
Dado que muchas aplicaciones en Google Play tienen el mismo nombre que las aplicaciones maliciosas, se recomienda consultar el apéndice del informe de ThreatFabric para obtener la lista de nombres de paquetes y firmas que están distribuyendo Anatsa y eliminarlas de inmediato de su dispositivo Android si están instaladas.
BleepingComputer solicitó a Google que explicara cómo los operadores de Anatsa pueden enviar actualizaciones maliciosas en sus aplicaciones dropper en la Play Store y reemplazar rápidamente los droppers reportados, pero no se obtuvo un comentario al momento de la publicación.
–
Fuente: Bill Toulas
