El Resurgimiento del troyano bancario Anatsa ha despertado preocupación entre los expertos en ciberseguridad, ya que apunta a instituciones financieras europeas, lo que representa una amenaza significativa para la seguridad de la banca móvil. En los últimos cuatro meses, la campaña de Anatsa ha mostrado una evolución dinámica, con cinco oleadas distintas dirigidas a regiones específicas, incluidas Eslovaquia, Eslovenia y Chequia, además de objetivos anteriores como el Reino Unido, Alemania y España.
La empresa de detección de fraude ThreatFabric detectó un resurgimiento del troyano bancario Anatsa en noviembre de 2023
La última versión de la campaña Anatsa, detectada por ThreatFabric, demuestra un modus operandi sofisticado. Empleó múltiples tácticas para infiltrarse en dispositivos móviles y ejecutar actividades maliciosas. A pesar de mejorar Mecanismos de detección y protección en Google Play.los cuentagotas de Anatsa han explotado con éxito Servicio de Accesibilidad. Les permitió automatizar la instalación de cargas útiles.
Un aspecto notable de la reciente campaña de Anatsa es el uso de código específico del fabricante dirigido a dispositivos Samsung. Este enfoque personalizado sugiere una adaptación estratégica por parte de los actores de amenazas para maximizar el impacto de su malware. Si bien la campaña afectó directamente a los usuarios de Samsung en esta fase, la amenaza de tácticas similares dirigidas a otros fabricantes de dispositivos sigue siendo motivo de preocupación.
La campaña de Anatsa ha eludido efectivamente las restricciones del Servicio de Accesibilidad impuestas por Android 13
Además, la campaña de Anatsa ha eludido efectivamente las restricciones impuestas por Androide 13, lo que permite a los droppers instalar cargas útiles mientras evaden la detección. Esta técnica, junto con archivos DEX cargados dinámicamente, mejora las capacidades de sigilo del malware. Plantea desafíos para los motores de seguridad y aumenta el riesgo de infecciones exitosas.
La posibilidad de que un programa malicioso se apodere del dispositivo representa una grave amenaza, y cada instalación aumenta el riesgo de actividad fraudulenta y acceso no autorizado a información confidencial.
Beeping Computer ha notado cinco aplicaciones que están vinculadas a la campaña de Anatsa. Estos incluyen Phone Cleaner – Explorador de archivos (com.volabs.androidcleaner), Visor de PDF – Explorador de archivos (com.xolab.fileexplorer), Lector de PDF – Visor y editor (com.jumbodub.fileexplorerpdfviewer), Phone Cleaner: Explorador de archivos (com. appiclouds.phonecleaner) y Lector de PDF: Administrador de archivos (com.tragisoap.fileandpdfmanager).
Google ha respondido al asunto
A Google El portavoz informó a BeepingComputer que Google Play eliminó las cinco aplicaciones asociadas con esta campaña. Añadió que Google Play Protect ya protege los dispositivos Android contra versiones conocidas de este malware. Esto está activado de forma predeterminada en dispositivos Android con Servicios de Google Play.