Se ha observado una notable reaparición y evolución de la campaña del troyano bancario Anatsa. Esta campaña, señala un cambio significativo en la estrategia operativa del malware, expandiendo su alcance a nuevas regiones europeas y evidenciando tácticas más sofisticadas para evadir la detección y desplegar su carga útil.
La campaña de Anatsa, activa desde finales de 2023, ha marcado un hito en la evolución de las amenazas a la seguridad en la banca móvil, afectando a usuarios en el Reino Unido, Alemania, España, y recientemente expandiéndose a Eslovaquia, Eslovenia y Chequia. Lo preocupante de esta campaña es su capacidad para promover aplicaciones señuelo en Google Play, las cuales logran colarse en las listas de las nuevas aplicaciones «Top gratuitas», engañando así a los usuarios para que las descarguen, aprovechando el abuso del servicio de accesibilidad para instalar el malware sin interacción del usuario.
Esta técnica, aunque limitada por políticas más estrictas de Google Play, ha encontrado brechas mediante actualizaciones maliciosas que introducen el código nocivo después de pasar las revisiones iniciales, mostrando una adaptación y evasión ante las medidas de seguridad actuales.
El enfoque altamente dirigido y las tácticas de evasión avanzadas, incluido el bypass de restricciones en Android 13 y el despliegue de archivos DEX dinámicamente cargados, resaltan la sofisticación creciente de Anatsa. Además, este troyano bancario presenta capacidades de Toma de Control del Dispositivo (DTO), permitiendo a los actores maliciosos ejecutar acciones en nombre de las víctimas y realizar fraudes financieros.
La actual campaña de Anatsa ya afecta a más de 150.000 instalaciones de los droppers, cada una representando un riesgo potencial de infección y fraude subsiguiente. Comparado con campañas anteriores, este patrón sugiere no solo una continuación sino una expansión en la estrategia de distribución y áreas geográficas objetivo. Las organizaciones financieras están siendo instadas a incrementar la educación de sus clientes sobre los riesgos asociados a la instalación de aplicaciones y a reforzar la detección y monitoreo de aplicaciones maliciosas y comportamientos inusuales en las cuentas de los usuarios.
Las cinco aplicaciones maliciosas más descargadas son:
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Este tipo de campaña subraya la necesidad imperante de inteligencia de amenazas móviles y medidas proactivas para combatir el malware bancario en evolución. La utilización de servicios como MAIA y la colaboración con empresas de prestación de servicios de inteligencia de amenazas como Hispasec puede proporcionar a las instituciones financieras las herramientas necesarias para anticiparse y mitigar estos riesgos, protegiendo así su infraestructura de banca móvil y manteniendo la confianza de sus clientes.
Si quieres comprobar si tu dispositivo se ve afectado por esta malware puedes comprobarlo en koodous.com o, aún mejor, descargarte la aplicación para móvil.
Más información:
- https://koodous.com/apks/bcae6ea26fe1dd1fa5652e05c1b888186307ad277ce238a255908061b837a484/general-information
- https://koodous.com/apks/13f917fb568fa6a66960aef0181969a74ab8d6108d49ba9521f6750a76aa4be4/general-information
- https://www.bleepingcomputer.com/news/security/anatsa-android-malware-downloaded-150-000-times-via-google-play/
Deja una respuesta