Se ha observado una nueva campaña de malware para Android que impulsa el troyano bancario Anatsa para dirigirse a clientes bancarios de Estados Unidos, Reino Unido, Alemania, Austria y Suiza desde principios de marzo de 2023.
«Los actores detrás de Anatsa tienen como objetivo robar credenciales utilizadas para autorizar a los clientes en aplicaciones de banca móvil y realizar fraude de toma de control de dispositivos (DTO) para iniciar transacciones fraudulentas», dijo ThreatFabric en un análisis publicado el lunes.
Según la empresa holandesa de ciberseguridad, las aplicaciones de Google Play Store infectadas con Anatsa han acumulado más de 30.000 instalaciones hasta la fecha, lo que indica que la tienda oficial de aplicaciones se ha convertido en un vector de distribución eficaz para el malware.
Anatsa, también conocido por el nombre de TeaBot y Toddler, apareció por primera vez a principios de 2021, y se ha observado que se hace pasar por aplicaciones aparentemente inocuas como lectores de PDF, escáneres de códigos QR y aplicaciones de autenticación de dos factores (2FA) en Google Play para desviar las credenciales de los usuarios. Desde entonces, se ha convertido en uno de los programas maliciosos bancarios más prolíficos y ha atacado a más de 400 instituciones financieras de todo el mundo.
El troyano cuenta con capacidades de puerta trasera para robar datos y también realiza ataques de superposición con el fin de robar credenciales, así como las actividades de registro mediante el abuso de sus permisos a la API de servicios de accesibilidad de Android. Además, puede eludir los mecanismos de control del fraude existentes para realizar transferencias de fondos no autorizadas.
En la última campaña observada por ThreatFabric, la aplicación dropper, una vez instalada, hace una petición a una página de GitHub que apunta a otra URL de GitHub que aloja la carga maliciosa, cuyo objetivo es engañar a las víctimas disfrazándose de complementos de la aplicación. Se sospecha que los usuarios son redirigidos a estas aplicaciones a través de anuncios engañosos.
Se dice que las cinco aplicaciones en cuestión han sido actualizadas después de su publicación inicial, probablemente en un intento sigiloso de colar la funcionalidad maliciosa después de pasar el proceso de revisión de aplicaciones durante el primer envío.
La lista de los principales países que interesan a Anatsa en función del número de solicitudes financieras a las que se dirige incluye Estados Unidos, Italia, Alemania, Reino Unido, Francia, Emiratos Árabes Unidos, Suiza, Corea del Sur, Australia y Suecia. También figuran en la lista Finlandia, Singapur y España.
