Una sofisticada campaña de troyano bancario para Android que aprovechaba una aplicación de gestión de archivos maliciosa acumuló más de 220.000 descargas en Google Play Store antes de su eliminación.
Apodado Anatsa (también conocido como TeaBot), el malware se dirige a instituciones financieras globales a través de un proceso de infección de varias etapas. Implementa superposiciones de inicio de sesión falsas y abusa de los servicios de accesibilidad para robar credenciales y ejecutar transacciones no autorizadas.
La cadena de ataque de Anatsa
Según la publicación de Zscaler ThreatLabz compartida en X, la aplicación maliciosa, disfrazada de “Administrador de archivos y lector de documentos”, funcionaba como un cuentagotas, una aplicación aparentemente benigna que recupera e instala cargas útiles adicionales desde servidores remotos.
La aplicación solicitaba a los usuarios que descargaran una «actualización» fraudulenta haciéndose pasar por un complemento necesario durante la instalación. Esta actualización, alojada en repositorios de GitHub, contenía el troyano bancario Anatsa.
Anatsa emplea la ejecución de código basada en reflexión para cargar dinámicamente archivos Dalvik Executable (DEX) maliciosos, que evaden las herramientas de análisis estático al descifrar las cargas útiles solo en tiempo de ejecución.
El malware realiza comprobaciones antiemulación para detectar entornos aislados, lo que retrasa la actividad maliciosa hasta que confirma un dispositivo genuino. Una vez activo, solicita permisos críticos, que incluyen:
- Servicios de accesibilidad: para registrar pulsaciones de teclas, interceptar mensajes SMS y manipular el contenido de la pantalla.
- Acceso a SMS: para evitar los mecanismos de autenticación de dos factores (2FA)
Luego, el troyano establece comunicación con servidores de comando y control (C2), transmitiendo metadatos del dispositivo y recibiendo perfiles de aplicaciones bancarias específicas.
Para cada aplicación financiera detectada (por ejemplo, PayPal, HSBC, Santander), Anatsa inyecta una superposición de inicio de sesión falsa, capturando credenciales directamente de usuarios desprevenidos.
La última campaña de Anatsa se ha dirigido principalmente a usuarios de Europa, incluidos Eslovaquia, Eslovenia y Chequia, aunque su infraestructura respalda la expansión a EE. UU., Corea del Sur y Singapur.
La lista de objetivos del malware abarca más de 600 aplicaciones bancarias y de criptomonedas, lo que permite a los actores de amenazas realizar fraudes en el dispositivo (ODF) iniciando transferencias no autorizadas a través de sistemas de transacciones automatizadas (ATS).
Mitigaciones
Para mitigar los riesgos, los usuarios deben:
- Evite la descarga: deshabilite «Instalar desde fuentes desconocidas» en la configuración del dispositivo.
- Auditar permisos de aplicaciones: revocar la accesibilidad y el acceso a SMS para
- Supervise las actualizaciones: las aplicaciones legítimas se actualizan a través de tiendas oficiales, no de enlaces de terceros.
La campaña de Anatsa subraya las persistentes brechas en la seguridad de las tiendas de aplicaciones, particularmente en lo que respecta a los ataques retrasados a la carga útil.
Si bien Google eliminó el cuentagotas identificado, amenazas similares siguen prevaleciendo, a menudo explotando administradores de archivos y aplicaciones de utilidad para evadir sospechas.
Para los usuarios finales, la vigilancia y el cumplimiento de medidas básicas de seguridad siguen siendo defensas fundamentales contra las amenazas móviles en evolución.
Indicadores de compromiso (IoC):
Red:
hxxps://docsresearchgroup[.]com
http://37.235.54[.]59/
http://91.215.85[.]55:85
MD5 de muestra:
a4973b21e77726a88aca1b57af70cc0a
ed8ea4dc43da437f81bef8d5dc688bdb
