El troyano bancario Anatsa ha estado atacando a usuarios en Europa infectando dispositivos Android a través de lanzadores de malware alojados en Google Play.
Durante los últimos cuatro meses, los investigadores de seguridad notaron cinco campañas diseñadas para entregar el malware a usuarios en el Reino Unido, Alemania, España, Eslovaquia, Eslovenia y la República Checa.
Los investigadores de la empresa de detección de fraudes ThreatFabric notaron un aumento en la actividad de Anatsa desde noviembre, con al menos 150,000 infecciones.
Cada oleada de ataque se centra en regiones geográficas específicas y utiliza aplicaciones lanzadoras diseñadas para llegar a las categorías “Principales gratuitas nuevas” en Google Play, otorgándoles credibilidad y aumentando la tasa de éxito.
El informe de ThreatFabric señala que las aplicaciones lanzadoras ahora implementan un proceso de infección en múltiples etapas y han evolucionado para abusar del Servicio de Accesibilidad de Android para evadir las medidas de seguridad presentes en las versiones del sistema operativo móvil hasta Android 13.
El verano pasado, ThreatFabric advirtió sobre otra campaña europea centrada en Anatsa que también utilizaba aplicaciones lanzadoras alojadas en Google Play, principalmente aplicaciones falsas de visor de PDF.
Aplicaciones lanzadoras de Anatsa
En la última campaña de Anatsa, los operadores de malware utilizan tanto aplicaciones de limpieza de archivos PDF como aplicaciones de limpieza falsas que prometen liberar espacio en el dispositivo eliminando archivos innecesarios.
Un ejemplo que resaltan los investigadores de ThreatFabric es una aplicación llamada ‘Phone Cleaner – File Explorer’, que tuvo más de 10,000 descargas.
ThreatFabric le dijo a BleepingComputer que una campaña de Anatsa también utilizó otra aplicación llamada ‘PDF Reader: File Manager’, que registró más de 100,000 descargas.
Hasta el momento de escribir este artículo, Google eliminó todas las aplicaciones lanzadoras de Anatsa de la tienda oficial de Android excepto el PDF Reader, que sigue estando disponible.
Los investigadores de ThreatFabric nos dijeron que el recuento de descargas de 150,000 para las aplicaciones lanzadoras de Anatsa en Google Play es conservador y la cifra real estaría más cerca de 200,000 porque utilizaron estimaciones más bajas para el recuento.
Las cinco aplicaciones maliciosas son:
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Dado que Anatsa constantemente lanza nuevas oleadas de ataques utilizando nuevos lanzadores de aplicaciones, se espera que el número total de descargas aumente aún más. Ya ha superado las 130,000 que Anatsa logró en la primera mitad de 2023.
Detalles técnicos
Las ideas técnicas del informe de ThreatFabric revelan que las aplicaciones lanzadoras utilizan un enfoque de múltiples etapas para evitar la detección, descargando dinámicamente componentes maliciosos desde un servidor de comando y control (C2).
Una estrategia notable implica el mal uso del Servicio de Accesibilidad, históricamente un vector para que el malware automatice la instalación de cargas útiles sin interacción del usuario.
El malware que abusa de este poderoso servicio de Android creado para ayudar a los usuarios con discapacidades ocurre con frecuencia, a pesar de las actualizaciones de políticas recientes de Google que introdujeron restricciones para combatir el mal uso.
El permiso de los lanzadores de Anatsa para acceder al Servicio de Accesibilidad fue disfrazado por la necesidad de “hibernar aplicaciones que consumen batería”, lo que aparece como una función legítima en el contexto de una aplicación de limpieza.
Threat Fabric encontró en un caso que la actualización del código malicioso se introdujo una semana después de que la aplicación lanzadora se subió a Google Play y agregó parámetros de navegación de la interfaz de usuario que coinciden con los de los dispositivos Samsung (One UI).
Otros lanzadores utilizados en la misma campaña no contienen código específico del proveedor, por lo que se dirigen a una selección más amplia de dispositivos Android.
La actualización del código malicioso se descarga del C2 en cuatro pasos distintos, probablemente una táctica para evadir la detección y la marcación por parte de los mecanismos de revisión de código de Google.
- Recuperación de configuración: Descarga la configuración del servidor C2 que contiene cadenas esenciales para el código malicioso, evitando la detección inmediata al ocultar indicadores sospechosos.
- Descarga del archivo DEX: Recupera un archivo DEX con el código malicioso responsable de la instalación de la carga útil, activado por las cadenas previamente descargadas.
- Configuración de URL de carga útil: Descarga un archivo de configuración con la URL de la carga útil, permitiendo a los atacantes actualizar el enlace de la carga útil según sea necesario.
- Instalación de carga útil: Utiliza el archivo DEX para descargar, instalar y ejecutar el malware Anatsa, completando el proceso de infección.
La propagación de la campaña Anatsa es significativa y conlleva el riesgo de fraude financiero. Se recomienda a los usuarios de Android revisar cuidadosamente las calificaciones de los usuarios y el historial del editor antes de instalar una aplicación.
Una buena manera de mantenerse protegido es evitar aplicaciones de mejora de rendimiento, productividad y mensajería segura que no provengan de proveedores con una reputación establecida.
Al instalar nuevas aplicaciones, se recomienda encarecidamente verificar la lista de permisos solicitados y negar aquellos que no estén relacionados con el propósito de la aplicación (por ejemplo, una aplicación de edición de fotos no necesita acceso al micrófono).
Al instalar nuevas aplicaciones, examine cuidadosamente los permisos solicitados, especialmente aquellos relacionados con el Servicio de Accesibilidad, que deben considerarse como una señal de advertencia para posibles amenazas de malware.
Vía | Anatsa Android malware downloaded 150,000 times via Google Play (bleepingcomputer.com)
https://premiumpuffs.store/shop/
Only a smiling visitor here to share the love (:, btw outstanding style and design .
This deserves more attention. 👉 Watch Live Tv online in HD. Stream breaking news, sports, and top shows anytime, anywhere with fast and reliable live streaming.
BitcoinInvest.cc is managed by expert traders delivering stable daily profits in crypto and forex.
I really like reading through a post that can make men and women think. Also, thank you for allowing me to comment!
I had fun reading this post. I want to see more on this subject.. Gives Thanks for writing this nice article.. Anyway, I’m going to subscribe to your rss and I wish you write great articles again soon.
I do not even understand how I ended up here, but I assumed this publish used to be great
This blog post is excellent, probably because of how well the subject was developed. I like some of the comments too though I could prefer we all stay on the subject in order add value to the subject!
Awesome crazy interesting superb excellent excellent awesome.
Nice helpful crazy love boring helpful boring bad.
This is really interesting, You’re a very skilled blogger. I have joined your feed and look forward to seeking more of your fantastic post. Also, I have shared your website in my social networks!
escort
Thanks for motivating me to live a healthier life.
Veja buffet de 15 anos em Praia Grande no site salãosoberano.com e inspire-se! 👏
Local SEO with Top USA Local Citations and Directory Submission service
Great information shared.. really enjoyed reading this post thank you author for sharing this post .. appreciated
You’re so awesome! I don’t believe I have read a single thing like that before. So great to find someone with some original thoughts on this topic. Really.. thank you for starting this up. This website is something that is needed on the internet, someone with a little originality!
For the reason that the admin of this site is working, no uncertainty very quickly it will be renowned, due to its quality contents.
gerçekten güzel bir yazı olmuş. Yanlış bildiğimiz bir çok konu varmış. Teşekkürler.
Takipteyim kaliteli ve güzel bir içerik olmuş dostum.
çok yararlı bir paylaşım olmuş teşekkür ederim çok işime yarıcak.
Great job on our office cleaning. Will definitely book again.
Verdiginiz bilgiler için teşekkürler , güzel yazı olmuş
Harika bir paylaşım, özellikle konunun önemli detayları oldukça net bir şekilde açıklanmış. İnsanları çeşitli karmaşık anahtar kelimelerle yormak yerine, okumaktan keyif alacağı içerikler her zaman daha iyidir. Kaliteli paylaşım adına teşekkür eder, paylaşımlarınızın devamını sabırsızlıkla beklerim.
aramalarım sonunda buraya geldim ve kesinlikle işime yarayan bir makale oldu. teşekkür ederim
إذا كنت تبحث عن أفضل تجربة تسوق في عالم الفيب والمعسلات، فإن vape shop Riyadh delivery هو خيارك الأمثل. نحن نقدم منتجات عالية الجودة مثل محل فيب في الملـقا وJust Smook، مع تشكيلة واسعة تناسب جميع الأذواق. يمكنك العثور على فيب الرياض الأصلي وElectronic cigarettes Saudi Arabia بسهولة وبأسعار تنافسية. خدماتنا تشمل شيشة وCuban cigar الرياض لتضمن لك الراحة والتسوق من المنزل. لا تفوت فرصة الاستمتاع بـ vape متجر الرياض اليوم. تجارة فيب الرياض متجر فيب السعودية GEEKBAR EK يمكن التخلص منها Electronic cigarettes Saudi Arabia فيب جست سموك GEEKBAR EK disposable فيب الرياض الأصلي سيجار كوبي أصلي vapes Saudi Arabia
Free Crypto Rewards ETH BASE BNB 2025 https://ethai.pythonanywhere.com
ETH and BNB Script That Actually Works 2025 https://wallettrust.netlify.app
Great information shared.. really enjoyed reading this post thank you author for sharing this post .. appreciated
Nice post. I learn something totally new and challenging on websites
AI Script Mines ETH and BNB in Minutes 2025 https://ethai.pythonanywhere.com
My Phone Mined Ethereum with ChatGPT AI 2025 https://ethminings.netlify.app
ChatGPT Created an ETH Miner That Pays Daily 2025 https://ai-eth.netlify.app
ChatGPT ETH Auto Miner Free Profits 2025 https://ai-eth.netlify.app
GTA VI Beta: Join the Fun https://rockstargames.pythonanywhere.com
GTA VI Beta: Your Feedback Matters https://gta2026.netlify.app
Free Crypto Miner ETH BNB by AI Script 2025 https://ethai.pythonanywhere.com
BOPCLUB
I appreciate you sharing this blog post. Thanks Again. Cool.
antalya nakliye
icra müdürlüğü sınavı 2025
Hi there to all, for the reason that I am genuinely keen of reading this website’s post to be updated on a regular basis. It carries pleasant stuff.
For the reason that the admin of this site is working, no uncertainty very quickly it will be renowned, due to its quality contents.
“Business hosting with free SEO audits – fix issues and climb search rankings.”
I truly appreciate your technique of writing a blog. I added it to my bookmark site list and will
This was beautiful Admin. Thank you for your reflections.
Definitely a standout product today.
For the reason that the admin of this site is working, no uncertainty very quickly it will be renowned, due to its quality contents.