El troyano bancario Anatsa se ha dirigido a usuarios de Europa infectando dispositivos Android a través de programas maliciosos alojados en Google Play.
Durante los últimos cuatro meses, los investigadores de seguridad detectaron cinco campañas diseñadas para distribuir el malware a usuarios del Reino Unido, Alemania, España, Eslovaquia, Eslovenia y la República Checa.
Los investigadores de la empresa de detección de fraude ThreatFabric notaron un aumento de la actividad de Anatsa desde noviembre, con al menos 150.000 infecciones.
Cada ola de ataque se centra en regiones geográficas específicas y emplea aplicaciones de cuentagotas diseñadas para llegar a las categorías “Top New Free” en Google Play, dándoles credibilidad y aumentando la tasa de éxito.
El informe de ThreatFabric señala que las aplicaciones de cuentagotas ahora implementan un proceso de infección de múltiples etapas y han evolucionado para abusar del Servicio de Accesibilidad de Android para eludir las medidas de seguridad presentes en las versiones del sistema operativo móvil hasta Android 13.
El verano pasado, ThreatFabric advirtió sobre otra campaña de Anatsa centrada en Europa que también utilizaba aplicaciones de cuentagotas alojadas en Google Play, principalmente aplicaciones falsas de visualización de PDF.
Aplicaciones con le Malware Anatsa
En la última campaña de Anatsa, los operadores de malware utilizan PDF y aplicaciones de limpieza falsas que prometen liberar espacio en el dispositivo eliminando archivos innecesarios.
Un ejemplo que destacan los investigadores de ThreatFabric es una aplicación llamada ‘Phone Cleaner – File Explorer’, de la que se contaron más de 10.000 descargas.
ThreatFabric dice que una campaña de Anatsa también utilizó otra aplicación llamada ‘PDF Reader: File Manager’, que registró más de 100.000 descargas.
Al momento de escribir este artículo, Google eliminó todas las aplicaciones de cuentagotas Anatsa de la tienda oficial de Android, excepto PDF Reader, que continúa estando disponible.
Los investigadores de ThreatFabric nos dijeron que el recuento de 150.000 descargas de los droppers de Anatsa en Google Play es conservador y que la cifra real estaría más cerca de 200.000 porque utilizaron estimaciones más bajas para el recuento.
Las cinco aplicaciones maliciosas son:
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Teniendo en cuenta que Anatsa lanza constantemente nuevas oleadas de ataques utilizando nuevas aplicaciones de cuentagotas, se espera que el número total de descargas aumente aún más. Ya ha superado los 130.000 que logró Anatsa en el primer semestre de 2023.
Detalles Técnicos
Los conocimientos técnicos del informe de ThreatFabric revelan que las aplicaciones dropper utilizan un enfoque de varias etapas para evitar la detección, descargando dinámicamente componentes maliciosos desde un servidor de comando y control (C2).
Una estrategia notable implica el uso indebido de AccessibilityService, históricamente un vector de malware para automatizar la instalación de carga útil sin interacción del usuario.
El malware que abusa de este poderoso servicio de Android creado para ayudar a los usuarios con discapacidades ocurre con frecuencia, a pesar de las recientes actualizaciones de políticas de Google que introdujeron restricciones para combatir el uso indebido.
El permiso de los cuentagotas de Anatsa para acceder al Servicio de Accesibilidad estaba disfrazado por la necesidad de “hibernar aplicaciones que agotan la batería”, lo que parece una característica legítima en el contexto de una aplicación más limpia.
Threat Fabric descubrió en un caso que la actualización del código malicioso se introdujo una semana después de que la aplicación cuentagotas se cargara en Google Play y agregó parámetros de navegación de la interfaz de usuario que coinciden con los de los dispositivos Samsung (One UI).
Otros droppers utilizados en la misma campaña no contienen código específico del proveedor, por lo que se dirigen a una selección más amplia de dispositivos Android.
La actualización del código malicioso se descarga desde el C2 en cuatro pasos distintos, probablemente una táctica para evadir la detección y señalización por parte de los mecanismos de revisión de código de Google.
- Recuperación de configuración: descarga la configuración del servidor C2 que contiene cadenas esenciales para el código malicioso, evitando la detección inmediata al ocultar indicadores sospechosos.
- Descarga de archivos DEX: recupera un archivo DEX con el código malicioso responsable de la instalación de la carga útil, activado por las cadenas descargadas previamente.
- Configuración de URL de carga útil: descarga un archivo de configuración con la URL de la carga útil, lo que permite a los atacantes actualizar el enlace de la carga útil según sea necesario.
- Instalación de carga útil: utiliza el archivo DEX para descargar, instalar e iniciar el malware Anatsa, completando el proceso de infección.
La difusión de la campaña de Anatsa es significativa y conlleva el riesgo de fraude financiero. Se recomienda a los usuarios de Android que revisen cuidadosamente las calificaciones de los usuarios y el historial del editor antes de instalar una aplicación.
Una buena manera de mantenerse protegido es evitar aplicaciones de mensajería segura, de productividad y de mejora del rendimiento que no provengan de proveedores con una reputación establecida.
Al instalar nuevas aplicaciones, se recomienda encarecidamente comprobar la lista de permisos solicitados y denegar aquellos que no estén relacionados con el propósito de la aplicación (por ejemplo, una aplicación de edición de fotografías no necesita acceso al micrófono).
Al instalar nuevas aplicaciones, examine cuidadosamente los permisos solicitados, en particular los relacionados con el Servicio de Accesibilidad, que deberían verse como una señal de alerta de posibles amenazas de malware.