[28/06/2023] Según una investigación de la empresa de ciberseguridad ThreatFabric, el troyano bancario para Android Anatsa está llegando a clientes de banca electrónica de Estados Unidos, Reino Unido, Alemania, Austria y Suiza.
Los autores de la amenaza están distribuyendo su malware a través de Play Store, y en marzo ya contaban con más de 30 mil instalaciones. El foco de la campaña en curso son los bancos de EE.UU., Reino Unido y DACH, mientras que la lista de objetivos del malware contiene casi 600 aplicaciones financieras de todo el mundo, señaló ThreatFabric en su investigación.
"ThreatFabric está al tanto de múltiples casos de fraude confirmados, con pérdidas confirmadas causadas por Anatsa, debido a las capacidades muy avanzadas de toma de control de dispositivos del troyano, que son capaces de eludir una amplia gama de mecanismos de control de fraude existentes", sostuvo ThreatFabric.
Múltiples droppers en Google Play en cuatro meses
En marzo, los autores de la amenaza lanzaron una nueva campaña de publicidad maliciosa para incitar a las víctimas a descargar aplicaciones dropper de Anatsa desde Google Play. Los investigadores identificaron la aplicación dropper en Google Play Store utilizada para distribuir Anatsa en los dispositivos infectados, haciéndose pasar por una aplicación de lectura de PDF.
"Una vez instalada, dicha aplicación haría una solicitud a una página alojada en GitHub, donde el dropper obtendría la URL para descargar la carga útil (también alojada en GitHub). Las cargas útiles se harían pasar por un complemento de la aplicación original (similar a lo que hemos visto en campañas anteriores)", sostuvo ThreatFabric.
Poco después de que los investigadores informaran a Google de este dropper, fue retirado de la tienda. Sin embargo, al cabo de un mes los autores publicaron otro dropper, que se hacía pasar por un visor de PDF.
"Se trataba de la continuación de la misma campaña, ya que las cargas útiles utilizadas eran las mismas y seguían haciéndose pasar por un complemento", afirmó ThreatFabric. Google también eliminó este dropper. Sin embargo, los atacantes volvieron a aparecer con un nuevo dropper.
Lo mismo se repitió dos veces. Otro dropper apareció un mes después de la eliminación del anterior. Los investigadores descubrieron tres dropppers más en mayo y junio.
"Queremos destacar la rapidez con la que los actores vuelven con un nuevo dropper después de eliminar el anterior: tardan entre un par de días y un par de semanas en publicar una nueva aplicación dropper en la tienda", afirmó ThreatFabric, y añadió que, en el momento de escribir este artículo, se ha descubierto un nuevo dropper de Anatsa que sigue en línea.
Cada dropper se actualizó en algún momento después de la fecha de publicación, lo que indica que el actor de la amenaza está añadiendo funcionalidad maliciosa.
Los actores de amenazas comienzan con la fase de distribución, en la que la carga útil se entrega a través de aplicaciones maliciosas en Google Play Store. Las víctimas son redirigidas allí a través de anuncios, que les parecen menos sospechosos ya que conducen a la tienda oficial.
Una vez que el dispositivo está infectado, Anatsa puede recopilar información confidencial como credenciales, datos de tarjetas de crédito, saldo e información de pago a través de ataques de superposición y keylogging.
"Anatsa les proporciona la capacidad de llevar a cabo fraude de toma de control de dispositivos (DTO), que luego lleva a realizar acciones (transacciones) en nombre de la víctima", anotó ThreatFabric.
Nuevos objetivos y atención a las entidades financieras
La actividad de Anatsa se descubrió por primera vez en el 2020. Ha habido múltiples cambios en las áreas de interés del actor a lo largo de los años, con actualizaciones continuas en su lista de objetivos.
"Esta campaña no es una excepción: vemos un fuerte cambio hacia el objetivo de las instituciones bancarias en la región DACH, específicamente en Alemania", señaló ThreatFabric. Los investigadores de la empresa observaron tres nuevas aplicaciones bancarias alemanas añadidas a la lista de objetivos de Anatsa durante la campaña actual.
La lista de aplicaciones objetivo incluía más de 90 nuevas aplicaciones objetivo en comparación con agosto del año pasado. La lista actualizada incluía objetivos de Alemania, España, Finlandia, Corea del Sur y Singapur.
"Aunque los droppers no se distribuyen en todos estos países, definitivamente revelan planes para atacar esas regiones", finalizó ThreatFabric.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú