El troyano Anatsa para Android elude la seguridad de Google Play

El troyano bancario para Android conocido como Anatsa ha ampliado su enfoque para incluir a Eslovaquia, Eslovenia y Chequia como parte de una nueva campaña observada en noviembre de 2023.

"Algunos de los droppers de la campaña explotaron con éxito el servicio de accesibilidad, a pesar de los mecanismos mejorados de detección y protección de Google Play", dijo ThreatFabric en un informe compartido con The Hacker News.

"Todos los droppers de esta campaña han demostrado la capacidad de eludir la configuración restringida para el servicio de accesibilidad en Android 13". La campaña, en total, involucra a cinco cuentagotas con más de 100.000 instalaciones totales.

También conocida por el nombre de TeaBot y Toddler, Anatsa es conocida por distribuirse bajo la apariencia de aplicaciones aparentemente inocuas en Google Play Store. Estas aplicaciones, llamadas droppers, facilitan la instalación del malware eludiendo las medidas de seguridad impuestas por Google que buscan otorgar permisos confidenciales.

En junio de 2023, la empresa holandesa de seguridad móvil reveló una campaña de Anatsa dirigida a clientes bancarios de EE. UU., Reino Unido, Alemania, Austria y Suiza al menos desde marzo de 2023 utilizando aplicaciones cuentagotas que se descargaron colectivamente más de 30.000 veces en Play Store.

Anatsa viene equipado con capacidades para obtener un control total sobre los dispositivos infectados y ejecutar acciones en nombre de la víctima. También puede robar credenciales para iniciar transacciones fraudulentas.

La última iteración observada en noviembre de 2023 no es diferente, ya que uno de los droppers se hizo pasar por una aplicación de limpieza de teléfonos llamada "Phone Cleaner - File Explorer" (nombre del paquete "com.volabs.androidcleaner") y aprovechó una técnica llamada control de versiones para introducir su comportamiento malicioso.

Si bien la aplicación ya no está disponible para descargar desde la tienda oficial para Android, aún se puede descargar a través de otras fuentes de terceros incompletas.

Según las estadísticas disponibles en la plataforma de inteligencia de aplicaciones AppBrain, se estima que la aplicación se descargó unas 12.000 veces durante el tiempo que estuvo disponible en Google Play Store entre el 13 y el 27 de noviembre, cuando no se publicó.


"Inicialmente, la aplicación parecía inofensiva, sin código malicioso y su servicio de accesibilidad no participaba en ninguna actividad dañina", dijeron los investigadores de ThreatFabric.

"Sin embargo, una semana después de su lanzamiento, una actualización introdujo código malicioso. Esta actualización alteró la funcionalidad de AccessibilityService, lo que le permitió ejecutar acciones maliciosas, como hacer clic automáticamente en los botones una vez que recibió una configuración del servidor [de comando y control]".

Lo que hace que el cuentagotas sea notable es que su abuso del servicio de accesibilidad está adaptado a los dispositivos Samsung, lo que sugiere que fue diseñado para apuntar exclusivamente a los teléfonos fabricados por la compañía en algún momento, aunque se ha descubierto que otros cuentagotas utilizados en la campaña son independientes del fabricante.

Los droppers también son capaces de eludir la configuración restringida de Android 13 imitando el proceso utilizado por los marketplaces para instalar nuevas aplicaciones sin tener desactivado su acceso a las funcionalidades del servicio de accesibilidad, como se observó anteriormente en el caso de los servicios dropper como SecuriDropper.

"Estos actores prefieren ataques concentrados en regiones específicas en lugar de una propagación global, cambiando periódicamente su enfoque", dijo ThreatFabric. "Este enfoque específico les permite concentrarse en un número limitado de organizaciones financieras, lo que lleva a un alto número de casos de fraude en poco tiempo".

El desarrollo se produce cuando Fortinet FortiGuard Labs detalló otra campaña que distribuye el troyano de acceso remoto SpyNote imitando un servicio legítimo de billetera de criptomonedas con sede en Singapur conocido como imToken para reemplazar las direcciones de billetera de destino y con otras controladas por actores y realizar transferencias ilícitas de activos.

"Al igual que gran parte del malware de Android hoy en día, este malware abusa de la API de accesibilidad", dijo la investigadora de seguridad Axelle Apvrille. "Este ejemplo de SpyNote utiliza la API de accesibilidad para apuntar a billeteras criptográficas famosas".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta