O trojan Anatsa para Android burla a segurança do Google Play e expande seu alcance para novos países
19 de Fevereiro de 2024

O trojan bancário para Android conhecido como Anatsa expandiu seu foco para incluir Eslováquia, Eslovênia e Tchéquia como parte de uma nova campanha observada em novembro de 2023.

"Alguns dos dispersores na campanha exploraram com sucesso o serviço de acessibilidade, apesar dos mecanismos aprimorados de detecção e proteção do Google Play", disse a ThreatFabric em um relatório compartilhado com The Hacker News.

"Todos os dispersores desta campanha demonstraram a capacidade de contornar as configurações restritas para o serviço de acessibilidade no Android 13." A campanha, no total, envolve cinco dispersores com mais de 100 mil instalações no total.

Também conhecido pelos nomes de TeaBot e Toddler, o Anatsa é distribuído sob o disfarce de aplicativos aparentemente inocentes na Google Play Store.

Esses aplicativos, chamados dispersores, facilitam a instalação do malware ao contornar medidas de segurança impostas pelo Google que visam conceder permissões sensíveis.

Em junho de 2023, a empresa de segurança móvel holandesa revelou uma campanha Anatsa que visava clientes bancários nos EUA, Reino Unido, Alemanha, Áustria e Suíça desde pelo menos março de 2023 utilizando aplicativos que foram coletivamente baixados mais de 30 mil vezes na Play Store.

O Anatsa é equipado com recursos para obter controle total sobre dispositivos infectados e executar ações em nome da vítima.

Também pode roubar credenciais para iniciar transações fraudulentas.

A última versão observada em novembro de 2023 não é diferente, sendo que um dos dispersores se disfarçou de um aplicativo de limpeza de telefone chamado "Phone Cleaner - File Explorer" (nome do pacote "com.volabs.androidcleaner") e usou uma técnica chamada versionamento para introduzir seu comportamento malicioso.

Embora o aplicativo não esteja mais disponível para download na loja oficial do Android, ainda pode ser baixado por outras fontes de terceiros duvidosas.

De acordo com estatísticas disponíveis na plataforma de inteligência de aplicativos AppBrain, estima-se que o aplicativo tenha sido baixado cerca de 12 mil vezes durante o período em que estava disponível na Google Play Store, entre 13 e 27 de novembro, quando foi retirado da plataforma.

"Inicialmente, o aplicativo parecia inofensivo, sem código malicioso e seu serviço de acessibilidade não se envolvia em atividades prejudiciais", disseram os pesquisadores da ThreatFabric.

"No entanto, uma semana após seu lançamento, uma atualização introduziu um código malicioso.

Essa atualização alterou a funcionalidade do AccessibilityService, permitindo que ele executasse ações maliciosas como clicar automaticamente em botões assim que recebesse uma configuração do servidor [de comando e controle]."

O que torna o dispersor notável é que seu abuso do serviço de acessibilidade é adaptado para dispositivos Samsung, sugerindo que foi projetado para visar exclusivamente os aparelhos da empresa em algum momento, embora outros dispersores usados ​​na campanha tenham sido encontrados agnósticos ao fabricante.

Os dispersores também são capazes de contornar as configurações restritas do Android 13, imitando o processo usado por marketplaces para instalar novos aplicativos sem ter seu acesso às funcionalidades do serviço de acessibilidade desativado, como observado anteriormente no caso de serviços dispersores como SecuriDropper.

"Esses atores preferem ataques concentrados em regiões específicas, em vez de uma disseminação global, mudando periodicamente seu foco", disse a ThreatFabric.

"Esta abordagem direcionada permite que eles se concentrem em um número limitado de organizações financeiras, levando a um grande número de casos de fraude em um curto período de tempo."

O desenvolvimento surge enquanto o Fortinet FortiGuard Labs detalhou outra campanha que distribui o trojan de acesso remoto SpyNote imitando um serviço de carteira de criptomoedas baseado em Singapura conhecido como imToken para substituir endereços de carteira de destino por endereços controlados por atores e realizar transferências de ativos ilícitas.

"Como muitos malwares para Android hoje, este malware abusa da API de acessibilidade", disse a pesquisadora de segurança Axelle Apvrille.

"Esta amostra SpyNote usa a API de acessibilidade para direcionar famosas carteiras de criptomoedas."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...