Usuários do Android em pelo menos cinco países foram alvo do trojan bancário Anatsa por meio de conta-gotas maliciosos carregados no Google Play, relata a empresa de detecção de ameaças ThreatFabric.
Os entregadores identificados, que acumularam mais de 30.000 instalações por meio da loja de aplicativos, foram projetados para fazer uma solicitação a uma página do GitHub para buscar uma URL que faria o download da carga útil final, também do GitHub.
O primeiro conta-gotas foi descoberto em março de 2023, apresentando-se como um aplicativo leitor de PDF, com o trojan se passando por um complemento para ele.
O Google removeu o aplicativo malicioso logo após ser notificado, mas um segundo conta-gotas, também se passando por um leitor de PDF e empregando a mesma cadeia de infecção, surgiu um mês depois.
Depois que esse aplicativo malicioso foi removido, outro conta-gotas (também leitor de PDF) surgiu em um mês, com outros dois (ambos leitores de documentos) identificados em maio e junho. Na verdade, diz ThreatFabric, o conta-gotas mais recente ainda está disponível para download no Google Play.
De acordo com a empresa de segurança, cada um dos droppers identificados recebeu uma atualização em um determinado momento, provavelmente adicionando funcionalidade maliciosa a ela.
“Nossa análise também revela que os atores podem ter vários aplicativos publicados na loja ao mesmo tempo em diferentes contas de desenvolvedor, no entanto, apenas um está agindo como malicioso, enquanto o outro é um backup para ser usado após a remoção”, observa ThreatFabric.
A campanha em andamento visa bancos dos EUA, Reino Unido, Alemanha, Áustria e Suíça, mas a lista de alvos do trojan Anatsa contém mais de 600 aplicativos bancários móveis em todo o mundo.
Os usuários foram atraídos para os aplicativos maliciosos por meio de anúncios que os direcionavam ao Google Play, o que provavelmente criava uma falsa sensação de segurança.
Usando sobreposições, o malware pode roubar informações confidenciais, como credenciais, dados de cartão de crédito e informações de saldo e pagamento, que os agentes de ameaças usam para iniciar transações fraudulentas, por meio de fraude de aquisição de dispositivo (DTO).
“Como as transações são iniciadas a partir do mesmo dispositivo que os clientes do banco usam regularmente, foi relatado que é muito difícil para os sistemas bancários antifraude detectá-los”, observa ThreatFabic.
A empresa de segurança, que monitora a Anatsa desde 2020, também descobriu que as iterações de trojan usadas nesta campanha podem atingir mais de 90 novos aplicativos bancários móveis da Finlândia, Alemanha, Cingapura, Espanha e Coréia do Sul.
“Embora os conta-gotas não sejam distribuídos em todos esses países, isso definitivamente revela planos para atingir essas regiões”, observa ThreatFabric.
