Investigadores de ciberseguridad han descubierto una campaña de malware bancario para Android que ha aprovechado un troyano llamado Anatsa para atacar a usuarios en América del Norte utilizando aplicaciones maliciosas publicadas en el mercado de aplicaciones oficial de Google.
Al igual que otros troyanos bancarios de Android, Anatsa es capaz de proporcionar a sus operadores funciones diseñadas para robar credenciales a través de ataques de superposición y registro de teclas, y llevar a cabo fraudes de toma de control de dispositivos (DTO) para iniciar transacciones fraudulentas desde los dispositivos de las víctimas.
El malware, disfrazado como una «actualización de PDF» para una aplicación de visualización de documentos, ha sido sorprendido sirviendo una superposición engañosa cuando los usuarios intentan acceder a su aplicación bancaria, alegando que el servicio ha sido suspendido temporalmente como parte del mantenimiento programado.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Se sabe que Anatsa, también conocida como TeaBot y Toddler, está activa desde al menos 2020, por lo general se entrega a las víctimas a través de dropper apps. Establece un perfil de desarrollador en la tienda de aplicaciones y luego publica una aplicación legítima que funcione como se anuncia.
Una vez que la aplicación gana una base de usuarios sustancial, a menudo en miles o decenas de miles de descargas, se implementa una actualización, incrustando código malicioso en la aplicación.
Este código incrustado descarga e instala Anatsa en el dispositivo como una aplicación separada.
El malware recibe una lista dinámica de instituciones financieras y bancarias objetivo de un servidor externo, lo que permite a los atacantes realizar el robo de credenciales para la toma de control de cuentas, el registro de teclas o las transacciones totalmente automatizadas mediante DTO.
