Ciberseguridad 360 | Troyano Anatsa se descargó 150.000 veces a través de Google Play

El troyano bancario para Android conocido como Anatsa ha ampliado su objetivo para incluir Eslovaquia, Eslovenia y Chequia como parte de una nueva campa�a observada en noviembre de 2023.

"Algunos de los droppers de la campa�a explotaron con �xito el servicio de accesibilidad, a pesar de los mecanismos mejorados de detecci�n y protecci�n de Google Play", dijo ThreatFabric.

"Todos los droppers de esta campa�a han demostrado la capacidad de saltarse la configuraci�n restringida del servicio de accesibilidad en Android 13". La campa�a, en total, incluye cinco droppers con m�s de 100.000 instalaciones totales.

Tambi�n conocido por el nombre de TeaBot y Toddler, Anatsa se distribuye bajo la apariencia de aplicaciones aparentemente inocuas en Google Play Store. Estas aplicaciones, denominadas droppers, facilitan la instalaci�n del malware eludiendo las medidas de seguridad impuestas por Google para conceder permisos confidenciales.

En junio de 2023, la empresa holandesa de seguridad m�vil desvel� una campa�a de Anatsa dirigida a clientes bancarios de Estados Unidos, Reino Unido, Alemania, Austria y Suiza, al menos desde marzo de 2023, mediante aplicaciones dropper que se descargaron colectivamente m�s de 30.000 veces en Play Store.

Anatsa est� equipado con capacidades para obtener el control total de los dispositivos infectados y ejecutar acciones en nombre de la v�ctima. Tambi�n puede robar credenciales para iniciar transacciones fraudulentas.

La �ltima iteraci�n observada en noviembre de 2023 no es diferente, ya que uno de los droppers se hizo pasar por una aplicaci�n de limpieza de tel�fonos llamada "Phone Cleaner - File Explorer" (nombre del paquete "com.volabs.androidcleaner") y aprovech� una t�cnica llamada versionado para introducir su comportamiento malicioso.

Aunque la aplicaci�n ya no est� disponible para su descarga desde la tienda oficial de Android, todav�a puede descargarse a trav�s de otras fuentes de terceros poco fiables.

Seg�n las estad�sticas disponibles en la plataforma de inteligencia de aplicaciones AppBrain, se estima que la aplicaci�n se descarg� unas 12.000 veces durante el tiempo que estuvo disponible en Google Play Store, entre el 13 y el 27 de noviembre, cuando dej� de publicarse.

"Inicialmente, la aplicaci�n parec�a inofensiva, sin c�digo malicioso y su servicio de accesibilidad no participaba en ninguna actividad da�ina", dijeron los investigadores de ThreatFabric.

"Sin embargo, una semana despu�s de su lanzamiento, una actualizaci�n introdujo c�digo malicioso. Esta actualizaci�n alter� la funcionalidad de AccessibilityService, permiti�ndole ejecutar acciones maliciosas como hacer clic autom�ticamente en los botones una vez que recib�a una configuraci�n del servidor [de comando y control]."

Lo que hace que el dropper sea notable es que su abuso del servicio de accesibilidad est� adaptado a los dispositivos Samsung, lo que sugiere que en alg�n momento se dise�� para atacar exclusivamente a los terminales fabricados por la compa��a, aunque se ha descubierto que otros droppers utilizados en la campa�a son independientes del fabricante.

Los droppers tambi�n son capaces de burlar la configuraci�n restringida de Android 13 imitando el proceso utilizado por los marketplaces para instalar nuevas aplicaciones sin que se deshabilite su acceso a las funcionalidades del servicio de accesibilidad, como se ha observado anteriormente en el caso de servicios de dropper como SecuriDropper.

"Estos actores prefieren ataques concentrados en regiones espec�ficas en lugar de una propagaci�n global, cambiando peri�dicamente su enfoque", dijo ThreatFabric. "Este enfoque selectivo les permite concentrarse en un n�mero limitado de organizaciones financieras, dando lugar a un gran n�mero de casos de fraude en poco tiempo."

El desarrollo se produce cuando Fortinet FortiGuard Labs detall� otra campa�a que distribuye el troyano de acceso remoto SpyNote imitando un servicio leg�timo de billetera de criptomoneda con sede en Singapur conocido como imToken para reemplazar las direcciones de billetera de destino y con otras controladas por el actor y realizar transferencias il�citas de activos.

"Como gran parte del malware para Android actual, este malware abusa de la API de accesibilidad", afirma Axelle Apvrille, investigador de seguridad. "Esta muestra de SpyNote utiliza la API de accesibilidad para dirigirse a famosos monederos de criptomonedas".

Fuente: thehackernews.com