Los investigadores de ciberseguridad han descubierto una campaña de malware de Banking Android que utiliza un caballo troyano llamado Anatsa, que se dirige a los usuarios de América del Norte, utilizando una aplicación maliciosa publicada en el mercado oficial de aplicaciones de Google.
El malware, que pretende ser una «actualización de PDF» en la aplicación de visor de documentos, proporciona una superposición engañosa cuando los usuarios intentan acceder a la aplicación bancaria, alegando que el servicio se suspendió temporalmente como parte del mantenimiento programado.
«Esta marca al menos la tercera instancia en la que Anatsa enfoca su negocio en los clientes de banca móvil en los Estados Unidos y Canadá», dijo la compañía de seguridad móvil holandesa Amenazfabric en un informe compartido con Hacker News. «Al igual que la campaña anterior, Anatsa se distribuye a través de la tienda oficial de Google Play».
También conocido como TeaBot y niños pequeños, se sabe que Anatsa ha estado activo desde al menos 2020 y generalmente se entrega a las víctimas a través de la aplicación Dropper.
A principios del año pasado, se descubrió que Anatsa estaba dirigido a usuarios de dispositivos de Android de Eslovaquia, Eslovenia y Chechia. Esta primera cargó una aplicación benigna que decoró el lector de PDF y el limpiador de teléfonos en Play Store e introdujo el código malicioso una semana después de su lanzamiento.
Al igual que otros troyanos de banca Android, Anatsa puede proporcionar a los operadores la capacidad de robar credenciales a través de superposiciones y ataques de keylog, llevar a cabo fraude de transacciones de dispositivos (DTO) y lanzar transacciones fraudulentas desde el dispositivo de la víctima.
Amenazfabric dijo que la campaña Anatsa sigue un proceso predecible pero bien engrasado, incluido el establecimiento de un perfil de desarrollador en la tienda de aplicaciones y la publicación de aplicaciones legítimas que funcionan según los anuncios.
«Cuando una aplicación gana una base de usuarios significativa, las actualizaciones se implementan e incrustan el código malicioso en la aplicación, a menudo con miles o decenas de miles de descargas», dijo la compañía. «Este código incorporado descarga e instala Anatsa como una aplicación separada en su dispositivo».
El malware recibe una lista dinámica de instituciones financieras y bancarias específicas de servidores externos, lo que permite a los atacantes realizar adquisiciones de cuentas, registros clave o robo de derechos de transacción totalmente automatizados.
Un factor importante que permite a Anatsa evitar la detección y mantener una alta tasa de éxito es la naturaleza cíclica de los ataques dispersos por períodos sin actividad.
La aplicación recientemente descubierta dirigida al público de América del Norte está equipada con un visor de documentos (nombre del paquete APK: «com.stellarastra.astracontrol_managerreadercleaner») y es publicado por un desarrollador llamado «Simulador de autos híbridos, Drift & Racing». Tanto la aplicación como las cuentas de desarrolladores asociadas ya no son accesibles en la tienda de reproducción.
Según Sensor Tower Statistics, la aplicación se publicó por primera vez el 7 de mayo de 2025 y alcanzó el cuarto lugar en la categoría «Top Free -Tools» el 29 de junio de 2025. Se estima que se ha descargado unas 90,000 veces.
«El gotero siguió al modus operandi establecido de Anatsa. Se lanzó originalmente como una aplicación legal, pero se convirtió en maliciosa aproximadamente seis semanas después de su lanzamiento», dice Amenazfabric. «La ventana de distribución de la campaña fue breve pero influyente y se ejecutó del 24 al 30 de junio».
La variante ANATSA está configurada para apuntar a un conjunto más amplio de aplicaciones bancarias en los EE. UU., Reflejando el enfoque del malware en aprovechar entidades financieras regionales, según la compañía.
Otra característica inteligente integrada en malware es la capacidad de mostrar notificaciones de mantenimiento falsas al intentar acceder a una aplicación de banca objetivo. Esta táctica no solo esconde actividades maliciosas que ocurren dentro de la aplicación, sino que también evita que los clientes se comuniquen con el equipo de apoyo del banco, retrasando así la detección de fraude financiero.
«El último negocio se basó en tácticas establecidas dirigidas a las instituciones financieras locales, así como a expandir su alcance», dijo Amenazfabric. «Se alienta a las organizaciones en el sector financiero a revisar la inteligencia proporcionada y evaluar los riesgos o impactos potenciales en los clientes y los sistemas».
Source link
