Un actor de amenazas está utilizando programas maliciosos disfrazados de aplicaciones móviles legítimas en la tienda Play de Google para distribuir un peligroso troyano bancario denominado "Anatsa" a usuarios de Android en varios países europeos.
La campaña ha estado en curso durante al menos cuatro meses y es la última salva de los operadores del malware, que apareció por primera vez en 2020 y anteriormente ha encontrado víctimas en EE. UU., Italia, Reino Unido, Francia, Alemania y otros países.
Tasa prolífica de infecciones
Los investigadores de ThreatFabric han estado monitoreando Anatsa desde su descubrimiento inicial y detectaron la nueva ola de ataques que comenzó en noviembre de 2023. En un informe de esta semana, El proveedor de detección de fraude describió que los ataques se desarrollaron en múltiples oleadas distintas dirigidas a clientes de bancos en Eslovaquia, Eslovenia y la República Checa.
Hasta ahora, los usuarios de Android en las regiones objetivo han descargado goteros para el malware de la tienda Play de Google al menos 100,000 veces desde noviembre. En una campaña anterior durante la primera mitad de 2023 que ThreatFabric rastreó, los actores de amenazas acumularon más de 130,000 instalaciones de sus goteros armados para Anatsa desde la tienda de aplicaciones móviles de Google.
ThreatFabric atribuyó las tasas de infección relativamente altas al enfoque de varias etapas que utilizan los droppers de Google Play para entregar Anatsa en dispositivos Android. Cuando los droppers se cargan inicialmente en Play, no hay nada en ellos que sugiera un comportamiento malicioso. Sólo después de aterrizar en Play los droppers recuperan dinámicamente el código para ejecutar acciones maliciosas desde un servidor de comando y control remoto (C2).
Uno de los droppers, disfrazado de una aplicación más limpia, afirmó que necesitaba permisos para la función del Servicio de Accesibilidad de Android por lo que parecía ser una razón legítima. El Servicio de Accesibilidad de Android es un tipo especial de función diseñada para facilitar a los usuarios con discapacidades y necesidades especiales la interacción con las aplicaciones de Android. Los actores de amenazas han explotado con frecuencia la función para automatizar la instalación de la carga útil en dispositivos Android y eliminar la necesidad de interacción del usuario durante el proceso.
Enfoque de múltiples etapas
"Inicialmente, la aplicación [más limpia] parecía inofensiva, sin código malicioso y su Servicio de Accesibilidad no participaba en ninguna actividad dañina", dijo ThreatFabric. “Sin embargo, una semana después de su lanzamiento, una actualización introdujo un código malicioso. Esta actualización alteró la funcionalidad AccessibilityService, permitiéndole ejecutar acciones maliciosas, como hacer clic automáticamente en botones una vez que recibió una configuración del servidor C2”, señaló el proveedor.
Los archivos que el dropper recuperó dinámicamente del servidor C2 incluían información de configuración para un archivo DEX malicioso para distribuir código de aplicación de Android; un archivo DEX con código malicioso para la instalación de la carga útil, configuración con una URL de carga útil y, finalmente, código para descargar e instalar Anatsa en el dispositivo.
El enfoque de múltiples etapas y cargado dinámicamente utilizado por los actores de amenazas permitió a cada uno de los droppers que utilizaron en la última campaña eludir las restricciones más estrictas del Servicio de Accesibilidad que Google implementó en Android 13, dijo Threat Fabric.
Para la última campaña, el operador de Anatsa optó por utilizar un total de cinco cuentagotas disfrazados de aplicaciones gratuitas de limpieza de dispositivos, visores de PDF y aplicaciones de lectura de PDF en Google Play. "Estas aplicaciones a menudo alcanzan el Top 3 en la categoría 'Top New Free', mejorando su credibilidad y bajando la guardia de las víctimas potenciales, al tiempo que aumentan las posibilidades de una infiltración exitosa", dijo ThreatFabric en su informe. Una vez instalado en un sistema, Anasta puede robar credenciales y otra información que permite al actor de amenazas tomar control del dispositivo y luego iniciar sesión en la cuenta bancaria del usuario y robar fondos.
Al igual que Apple, Google ha implementado numerosos mecanismos de seguridad en los últimos años para dificultar que los actores de amenazas introduzcan aplicaciones maliciosas en dispositivos Android a través de su tienda oficial de aplicaciones móviles. Uno de los más significativos entre ellos es Google Play Protect, una función incorporada de Android que analiza las instalaciones de aplicaciones en tiempo real en busca de signos de comportamiento potencialmente malicioso o dañino y luego alerta o desactiva la aplicación si encuentra algo sospechoso. La función de configuración restringida de Android también ha hecho que sea mucho más difícil para los actores de amenazas intentar infectar dispositivos Android a través de aplicaciones descargadas o aplicaciones de tiendas de aplicaciones no oficiales.
Aun así, los actores de amenazas han logrado continuar introducir malware en dispositivos Android a través de Play abusando de características como AccessibilityService de Android, o usando procesos de infección de múltiples etapas y usando instaladores de paquetes que imitan a los de Play Store para descargar aplicaciones maliciosas, dijo ThreatFabric.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/mobile-security/new-wave-of-anatsa-banking-trojan-attacks-targets-android-users-in-europe
- :posee
- :es
- :no
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- Nuestra Empresa
- accesibilidad
- Mi Cuenta
- Acumulado
- acciones
- actividades
- los actores
- Después
- Alertas
- permitir
- permitido
- también
- alterado
- entre
- an
- y
- android
- Android 13
- cualquier
- cualquier cosa
- applicación
- tienda de aplicaciones
- Aparecido
- Apple
- Aplicación
- aplicaciones
- enfoque
- aplicaciones
- AS
- At
- ataques
- automatizado
- automáticamente
- Banca
- cuenta bancaria
- Bancario
- Bancos
- BE
- esto
- Comienzo
- comportamiento
- incorporado
- by
- Campaña
- PUEDEN
- Categoría
- posibilidades
- eligió
- evitar
- afirmó
- limpiador
- código
- Configuración
- continue
- control
- países
- Referencias
- Credibilidad
- Clientes
- República Checa
- peligroso
- entregamos
- descrito
- diseñado
- Detección
- dispositivo
- Dispositivos
- Dex
- discapacidad
- descubrimiento
- distinto
- distribuir
- distribuido
- Descarga de
- doblado
- durante
- dinamicamente
- cada una
- más fácil
- eliminarlos
- permitiendo
- interactuando
- mejorar
- Europa
- Europea
- Países europeos
- ejecutar
- ejecución
- Explotado
- material
- muchos
- Feature
- Caracteristicas
- Archive
- archivos
- Finalmente
- encuentra
- Nombre
- Digital XNUMXk
- Digital XNUMXk
- Francia
- fraude
- detección de fraude
- Gratis
- frecuentemente
- Desde
- a la fatiga
- fondos
- Alemania
- obtener
- Google Play
- Guardia
- A Mitad
- más fuerte
- perjudicial
- Tienen
- Alta
- Sin embargo
- HTML
- HTTPS
- if
- implementado
- in
- incluido
- creciente
- infecciones
- info
- información
- inicial
- posiblemente
- instalación
- instalado
- instalando
- interactuar
- interacción
- dentro
- Introducido
- IT
- Italia
- SUS
- sí mismo
- jpg
- Reino
- CARGA TERRESTRE
- luego
- más reciente
- menos
- legítima
- como
- log
- Bajando
- hecho
- para lograr
- malicioso
- el malware
- gestionado
- los mecanismos de
- Móvil
- Aplicación movil
- Aplicaciones móviles
- monitoreo
- meses
- MEJOR DE TU
- mucho más
- múltiples
- ¿ Necesita ayuda
- Nuevo
- no
- señaló
- nada
- Noviembre
- numeroso
- of
- oficial
- a menudo
- on
- una vez
- ONE
- en marcha
- , solamente
- sobre
- operador
- operadores
- or
- Otro
- Más de
- paquete
- (PDF)
- permisos
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Jugar
- Play Store
- posible
- la posibilidad
- anterior
- previamente
- en costes
- prolífico
- Rate
- Tarifas
- en comunicarse
- Testimoniales
- en tiempo real
- razón
- recibido
- reciente
- regiones
- relativamente
- ,
- sanaciones
- reporte
- República
- exigir
- límite
- restricciones
- s
- Said
- escanea
- EN LINEA
- servidor
- de coches
- ajustes
- Varios
- importante
- Letreros y Pancartas
- desde
- Eslovenia
- furtivamente
- So
- especial
- necesidades especiales
- Patrocinado
- tienda
- tiendas
- exitosos
- tal
- sugieren
- suspicaz
- te
- ¡Prepárate!
- afectados
- orientación
- tiene como objetivo
- esa
- La
- su
- Les
- luego
- Ahí.
- Estas
- ellos
- así
- esta semana
- aquellos
- amenaza
- actores de amenaza
- veces
- a
- parte superior
- Total
- Trojan
- try
- tipo
- despliegue
- United
- Reino Unido
- Actualizar
- subido
- Enlance
- us
- utilizan el
- usado
- Usuario
- usuarios
- usando
- vendedor
- vía
- las víctimas
- espectadores
- Trenzado
- olas
- semana
- ¿
- cuando
- que
- mientras
- años
- zephyrnet