Os pesquisadores de segurança da ThreatFabric descobriram que agora o trojan Anatsa rouba informações bancárias nos EUA, e mais outros países.
Sim. Uma nova campanha de malware móvel desde março de 2023 envia o trojan bancário Android ‘Anatsa’ para clientes bancários online nos EUA, Reino Unido, Alemanha, Áustria e Suíça.
Trojan Anatsa rouba informações bancárias nos EUA, e mais
De acordo com pesquisadores de segurança da ThreatFabric, que acompanham a atividade maliciosa, os invasores estão distribuindo seu malware por meio da Play Store, a loja de aplicativos oficial do Android, e já possuem mais de 30.000 instalações apenas por meio desse método.
O ThreatFabric descobriu uma campanha anterior da Anatsa no Google Play em novembro de 2021, quando o trojan foi instalado mais de 300.000 vezes, representando scanners de PDF, scanners de código QR, aplicativos Adobe Illustrator e aplicativos de rastreador de condicionamento físico.
Em março de 2023, após um hiato de seis meses na distribuição de malware, os invasores lançaram uma nova campanha de malvertising que leva as vítimas em potencial a baixar os aplicativos dropper Anatsa do Google Play.
Os aplicativos maliciosos continuam a pertencer à categoria de escritório/produtividade, apresentando-se como aplicativos de visualização e edição de PDF e suítes de escritório.
Sempre que o ThreatFabric denunciava o aplicativo malicioso ao Google e ele era removido da loja, os invasores retornavam rapidamente, carregando um novo conta-gotas sob um novo disfarce.
Em todos os cinco casos de droppers de malware identificados, os aplicativos foram enviados para o Google Play de forma limpa e posteriormente atualizados com código malicioso, provavelmente para escapar do rigoroso processo de revisão de código do Google no primeiro envio.
Uma vez instalados no dispositivo da vítima, os aplicativos dropper solicitam um recurso externo hospedado no GitHub, de onde baixam as cargas úteis do Anatsa mascaradas como complementos de reconhecimento de texto para o Adobe Illustrator.
A Anatsa coleta informações financeiras, como credenciais de contas bancárias, detalhes de cartão de crédito, informações de pagamento, etc., sobrepondo páginas de phishing em primeiro plano quando o usuário tenta iniciar seu aplicativo bancário legítimo e também por meio de keylogging.
Em sua versão atual, o trojan Anatsa suporta a segmentação de quase 600 aplicativos financeiros de instituições bancárias de todo o mundo.
A Anatsa usa as informações roubadas para realizar fraudes no dispositivo, iniciando o aplicativo bancário e realizando transações em nome da vítima, automatizando o processo de roubo de dinheiro para seus operadores.
“Como as transações são iniciadas a partir do mesmo dispositivo que os clientes do banco usam regularmente, foi relatado que é muito difícil para os sistemas bancários antifraude detectá-lo”, explica ThreatFabric.
Os valores roubados são convertidos em criptomoeda e repassados por uma extensa rede de mulas de dinheiro nos países-alvo, que manterão uma parte dos fundos roubados como parte da receita e enviarão o restante aos invasores.
À medida que as campanhas de malware, como a Anatsa, expandem sua segmentação para outros países, os usuários devem ficar mais atentos aos aplicativos que instalam em dispositivos Android.
Os usuários devem evitar instalar aplicativos de editores duvidosos, mesmo que estejam em uma loja bem avaliada como o Google Play. Sempre verifique as revisões e veja se um padrão de relatórios indica comportamento malicioso.
Além disso, se possível, evite aplicativos com poucas instalações e avaliações e, em vez disso, instale aplicativos conhecidos e comumente citados em sites.
Como muitos aplicativos no Google Play têm o mesmo nome dos aplicativos maliciosos, é recomendável verificar o apêndice do relatório ThreatFabric para obter a lista de nomes e assinaturas de pacotes que estão pressionando o Anatsa e removê-los imediatamente do seu dispositivo Android, se instalados.
