El troyano bancario Anatsa ha estado atacando a usuarios en Europa infectando dispositivos Android a través de lanzadores de malware alojados en Google Play.
Durante los últimos cuatro meses, los investigadores de seguridad notaron cinco campañas diseñadas para entregar el malware a usuarios en el Reino Unido, Alemania, España, Eslovaquia, Eslovenia y la República Checa.
Los investigadores de la empresa de detección de fraudes ThreatFabric notaron un aumento en la actividad de Anatsa desde noviembre, con al menos 150,000 infecciones.
Cada oleada de ataque se centra en regiones geográficas específicas y utiliza aplicaciones lanzadoras diseñadas para llegar a las categorías “Principales gratuitas nuevas” en Google Play, otorgándoles credibilidad y aumentando la tasa de éxito.
El informe de ThreatFabric señala que las aplicaciones lanzadoras ahora implementan un proceso de infección en múltiples etapas y han evolucionado para abusar del Servicio de Accesibilidad de Android para evadir las medidas de seguridad presentes en las versiones del sistema operativo móvil hasta Android 13.
El verano pasado, ThreatFabric advirtió sobre otra campaña europea centrada en Anatsa que también utilizaba aplicaciones lanzadoras alojadas en Google Play, principalmente aplicaciones falsas de visor de PDF.
Aplicaciones lanzadoras de Anatsa
En la última campaña de Anatsa, los operadores de malware utilizan tanto aplicaciones de limpieza de archivos PDF como aplicaciones de limpieza falsas que prometen liberar espacio en el dispositivo eliminando archivos innecesarios.
Un ejemplo que resaltan los investigadores de ThreatFabric es una aplicación llamada ‘Phone Cleaner – File Explorer’, que tuvo más de 10,000 descargas.
ThreatFabric le dijo a BleepingComputer que una campaña de Anatsa también utilizó otra aplicación llamada ‘PDF Reader: File Manager’, que registró más de 100,000 descargas.
Hasta el momento de escribir este artículo, Google eliminó todas las aplicaciones lanzadoras de Anatsa de la tienda oficial de Android excepto el PDF Reader, que sigue estando disponible.
Los investigadores de ThreatFabric nos dijeron que el recuento de descargas de 150,000 para las aplicaciones lanzadoras de Anatsa en Google Play es conservador y la cifra real estaría más cerca de 200,000 porque utilizaron estimaciones más bajas para el recuento.
Las cinco aplicaciones maliciosas son:
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Dado que Anatsa constantemente lanza nuevas oleadas de ataques utilizando nuevos lanzadores de aplicaciones, se espera que el número total de descargas aumente aún más. Ya ha superado las 130,000 que Anatsa logró en la primera mitad de 2023.
Detalles técnicos
Las ideas técnicas del informe de ThreatFabric revelan que las aplicaciones lanzadoras utilizan un enfoque de múltiples etapas para evitar la detección, descargando dinámicamente componentes maliciosos desde un servidor de comando y control (C2).
Una estrategia notable implica el mal uso del Servicio de Accesibilidad, históricamente un vector para que el malware automatice la instalación de cargas útiles sin interacción del usuario.
El malware que abusa de este poderoso servicio de Android creado para ayudar a los usuarios con discapacidades ocurre con frecuencia, a pesar de las actualizaciones de políticas recientes de Google que introdujeron restricciones para combatir el mal uso.
El permiso de los lanzadores de Anatsa para acceder al Servicio de Accesibilidad fue disfrazado por la necesidad de “hibernar aplicaciones que consumen batería”, lo que aparece como una función legítima en el contexto de una aplicación de limpieza.
Threat Fabric encontró en un caso que la actualización del código malicioso se introdujo una semana después de que la aplicación lanzadora se subió a Google Play y agregó parámetros de navegación de la interfaz de usuario que coinciden con los de los dispositivos Samsung (One UI).
Otros lanzadores utilizados en la misma campaña no contienen código específico del proveedor, por lo que se dirigen a una selección más amplia de dispositivos Android.
La actualización del código malicioso se descarga del C2 en cuatro pasos distintos, probablemente una táctica para evadir la detección y la marcación por parte de los mecanismos de revisión de código de Google.
- Recuperación de configuración: Descarga la configuración del servidor C2 que contiene cadenas esenciales para el código malicioso, evitando la detección inmediata al ocultar indicadores sospechosos.
- Descarga del archivo DEX: Recupera un archivo DEX con el código malicioso responsable de la instalación de la carga útil, activado por las cadenas previamente descargadas.
- Configuración de URL de carga útil: Descarga un archivo de configuración con la URL de la carga útil, permitiendo a los atacantes actualizar el enlace de la carga útil según sea necesario.
- Instalación de carga útil: Utiliza el archivo DEX para descargar, instalar y ejecutar el malware Anatsa, completando el proceso de infección.
La propagación de la campaña Anatsa es significativa y conlleva el riesgo de fraude financiero. Se recomienda a los usuarios de Android revisar cuidadosamente las calificaciones de los usuarios y el historial del editor antes de instalar una aplicación.
Una buena manera de mantenerse protegido es evitar aplicaciones de mejora de rendimiento, productividad y mensajería segura que no provengan de proveedores con una reputación establecida.
Al instalar nuevas aplicaciones, se recomienda encarecidamente verificar la lista de permisos solicitados y negar aquellos que no estén relacionados con el propósito de la aplicación (por ejemplo, una aplicación de edición de fotos no necesita acceso al micrófono).
Al instalar nuevas aplicaciones, examine cuidadosamente los permisos solicitados, especialmente aquellos relacionados con el Servicio de Accesibilidad, que deben considerarse como una señal de advertencia para posibles amenazas de malware.
Vía | Anatsa Android malware downloaded 150,000 times via Google Play (bleepingcomputer.com)
I like the efforts you have put in this,https://heosexhay.net/ regards for all the great content.
I just like the helpful information you provide in your articles
Let us know in the comments which of their posts has resonated with you the most.
Pretty! This has been a really wonderful post. Many thanks for providing these details.
Awesome! Its genuinely remarkable post, I have got much clear idea regarding from this post
Your insight is sharp and enhances the broader conversation.
Awesome! Its genuinely remarkable post, I have got much clear idea regarding from this post
I very delighted to find this internet site on bing, just what I was searching for as well saved to fav
Many beginners explore a free xtream account to understand IPTV login structures and app configuration before choosing a paid service.
For the reason that the admin of this site is working, no uncertainty very quickly it will be renowned, due to its quality contents.https://heosexhay.net/
I appreciate you sharing this blog post. Thanks Again. Cool. https://heosexhay.net/
Türkiye’de en çok tercih edilen bahis firmalarından biri olarak hizmetlerini sürdürüyor.
fatik cerrahpaşa eskort
Bahis, Avrupa’nın ve ülkemizin en popüler bahis platformlarından biridir. Çeşitli avantajları ile dikkat çeken bu site, bahis sektörünün en gözde platformlarından biri haline gelmiştir.
Bahis Para Yatırma ve Çıkarma İşlemleri
Your writing style is absolutely fantastic! This could have easily been a dry, boring topic, but you made it engaging and even fun to read. I love how you injected personality into the article without sacrificing professionalism or accuracy. The way you anticipated reader questions and addressed them throughout the piece shows a real understanding of your audience. I’m definitely following your blog now because if this is the quality of content you produce, I don’t want to miss any future posts!
This post is absolutely brilliant! The depth of insight you’ve shared here is remarkable, and I’m walking away with so many new ideas and perspectives. I particularly loved how you connected this topic to broader themes and showed how it fits into the bigger picture. That kind of contextual understanding is so important but often missing from other articles on this subject. Thank you for taking the time to create something this thoughtful and comprehensive!
Amazing breakdown — the numbered steps made it easy to follow.
I’m absolutely loving the practical approach you took with this article! Too many posts on this topic are all theory with no actionable advice, but you delivered exactly what readers need to actually make progress. The templates and examples you provided are incredibly helpful, and I’m definitely going to be using them. Your generosity in sharing these resources is really appreciated. This is the kind of content that builds trust and keeps readers coming back!
Great information shared.. really enjoyed reading this post thank you author for sharing this post .. appreciated https://heosexhay.net/
A precise and effective addition to the broader conversation.
You’re so awesome! I don’t believe I have read a single thing like that before. So great to find someone with some original thoughts on this topic. Really.. thank you for starting this up. This website is something that is needed on the internet, someone with a little originality!
fatik cerrahpaşa eskort
Helpful and well-paced. Looking forward to your next post.
I like meeting utile info, this post has got me even more info!
I really like reading through a post that can make men and women think. Also, thank you for allowing me to comment!
Please write more about the challenges you mentioned — curious for solutions.
Concise and informative. I learned something new today.
Useful and well-structured. Looking forward to more posts from you.
I’m often to blogging and i really appreciate your content. The article has actually peaks my interest. I’m going to bookmark your web site and maintain checking for brand spanking new information.
Nhà cái Zo88 cung cấp hệ thống cá cược thể thao, casino trực tuyến, slot game, tài xỉu, bắn cá, xổ số với nền tảng bảo mật hiện đại, giao dịch nhanh chóng, …
https://premiumpuffs.store/wp-content/uploads/2025/04/DSCF0055-510×510.jpg
https://premiumpuffs.store/wp-content/uploads/2025/10/cropped-sade-dv_1_3-510×510.webp
507 pvc bike edals 1 2 black
There is definately a lot to find out about this subject. I like all the points you made
I like the efforts you have put in this, regards for all the great content.
Rainx Drive is the Best Cloud Storage Platform
I appreciate you sharing this blog post. Thanks Again. Cool.
Güzel aydınlatıcı makale için teşekkürler daha iyisi samda kayısı umarım faydalı çalışmalarınızın devamı gelir.
https://galindoslowriderbikes.com/shop/
Micargi 26 Mountain Bikes M 50 Women Bike
Chopper Sissy Bar 23″ Twisted Base Narrow for Harley Knucklehead Panhead
https://shovelhunter.com/index.php/shop/
https://blakksmoke.us/shop/