Pesquisadores de cibersegurança descobriram uma campanha de malware bancário no Android que utilizou um trojan chamado Anatsa para atingir usuários na América do Norte por meio de apps maliciosos publicados no mercado de aplicativos oficial do Google.
O malware, disfarçado como uma "Atualização de PDF" para um app de visualização de documentos, foi flagrado apresentando uma sobreposição enganosa quando os usuários tentam acessar seu aplicativo bancário, alegando que o serviço foi temporariamente suspenso como parte de uma manutenção programada.
"Este marca pelo menos a terceira instância de Anatsa focando suas operações em clientes de mobile banking nos Estados Unidos e Canadá", disse a empresa holandesa de segurança móvel ThreatFabric em um relatório compartilhado com o site The Hacker News.
Como nas campanhas anteriores, o Anatsa está sendo distribuído via Google Play Store oficial.
Anatsa, também referido como TeaBot e Toddler, é conhecido por estar ativo desde pelo menos 2020, geralmente entregue às vítimas via aplicativos dropper.
No início do ano passado, Anatsa foi encontrado visando usuários de dispositivos Android na Eslováquia, Eslovênia e Tchéquia, inicialmente carregando apps benignos disfarçados de leitores de PDF e limpadores de telefone na Play Store e, em seguida, introduzindo código malicioso uma semana após o lançamento.
Como outros trojans bancários para Android, o Anatsa é capaz de fornecer a seus operadores recursos projetados para roubar credenciais através de ataques de overlay e keylogging, e realizar Device-Takeover Fraud (DTO) para iniciar transações fraudulentas a partir dos dispositivos das vítimas.
A ThreatFabric disse que as campanhas do Anatsa seguem um processo previsível, mas bem organizado, que envolve estabelecer um perfil de desenvolvedor na loja de aplicativos e depois publicar um app legítimo que funciona conforme anunciado.
"Uma vez que o aplicativo ganha uma base substancial de usuários – frequentemente na casa dos milhares ou dezenas de milhares de downloads – uma atualização é implantada, incorporando código malicioso no app", disse a empresa.
"Esse código incorporado baixa e instala o Anatsa no dispositivo como um aplicativo separado." O malware então recebe uma lista dinâmica de instituições financeiras e bancárias alvo de um servidor externo, permitindo aos atacantes realizar o roubo de credenciais para tomada de conta, keylogging ou transações totalmente automatizadas usando DTO.
Um fator crucial que permite ao Anatsa evadir a detecção, bem como manter uma alta taxa de sucesso, é sua natureza cíclica, onde os ataques são intercalados por períodos de inatividade.
O app recém-descoberto que visa o público norte-americano se disfarça como um Visualizador de Documentos (nome do pacote APK: "com.stellarastra.maintainer.astracontrol_managerreadercleaner") e é publicado por um desenvolvedor chamado "Hybrid Cars Simulator, Drift & Racing".
Tanto o aplicativo quanto a conta do desenvolvedor associada não estão mais acessíveis na Play Store.
Estatísticas da Sensor Tower mostram que o app foi publicado pela primeira vez em 7 de maio de 2025, alcançando a quarta posição na categoria "Top Grátis - Ferramentas" em 29 de junho de 2025.
Estima-se que tenha sido baixado cerca de 90.000 vezes.
"Este dropper seguiu o modus operandi estabelecido do Anatsa: inicialmente lançado como um app legítimo, foi transformado em um malicioso aproximadamente seis semanas após seu lançamento", disse a ThreatFabric.
A janela de distribuição para esta campanha foi curta, mas impactante, de 24 a 30 de junho.
A variante do Anatsa, segundo a empresa, também está configurada para direcionar um conjunto mais amplo de apps bancários nos Estados Unidos, refletindo o foco crescente do malware em explorar entidades financeiras na região.
Outro recurso astuto incorporado ao malware é sua capacidade de exibir um aviso falso de manutenção ao tentar acessar o aplicativo bancário alvo.
Esta tática não apenas oculta a atividade maliciosa ocorrendo dentro do aplicativo, mas também impede que os clientes entrem em contato com a equipe de suporte do banco, atrasando assim a detecção de fraude financeira.
"A operação mais recente não apenas ampliou seu alcance, mas também se baseou em táticas bem estabelecidas visando instituições financeiras na região", disse a ThreatFabric.
Organizações do setor financeiro são encorajadas a revisar a inteligência fornecida e avaliar quaisquer riscos ou impactos potenciais em seus clientes e sistemas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...