Anatsa, un troyano bancario con gran impacto en la Unión Europea

  • Endpoint

Diseñado para dispositivos Android, el malware rastrea los identificadores de todas las apps que vaya iniciando y cuando detecta un inicio de sesión en una de las aplicaciones objetivo, crea páginas superpuestas para capturar la información introducida por el usuario.

Recomendados: 

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

Anatomía del ataque a una cuenta privilegiada Leer

A principios de enero se descubrió un nuevo troyano bancario para dispositivos Android bautizado como Anatsa, una familia de malware hace uso de funciones muy similares a las de otros troyanos bancarios para Android, como Cerberus, Anubis o Flubot, siendo así detectada por los principales sistemas antimalware. Todo parece indicar que existe cierta conexión con la familia Flubot, ya que se han encontrado casos en los que estas dos amenazas comparten direcciones de paneles de phishing, desde los que se han podido descargar ambas amenazas en algún momento. Por lo tanto, los cibercriminales que operan estos dos malware de Android, podrían estar relacionados de alguna forma.

A diferencia de Flubot, cuyo foco inicial fue España, el objetivo de esta familia parece tener un alcance más amplio, buscando, desde un primer momento, tener impacto en otros países de Europa. En cuanto a la funcionalidad del código dañino, una vez el usuario instala la aplicación en su dispositivo, ésta comienza a rastrear los identificadores de todas las aplicaciones que vaya iniciando y cuando detecta un inicio de sesión en una de las aplicaciones objetivo, tiene la capacidad de inyectar páginas superpuestas de forma que el usuario piensa que está introduciendo las credenciales en la aplicación original cuando, en realidad, las está enviando al servidor de mando y control (C2), controlado por los operadores del código dañino.

El código dañino es capaz de enviar, interceptar y ocultar mensajes SMS; leer la agenda de contactos y estado del teléfono; modificar los ajustes de sonido (silenciar); mostrar una ventana emergente en cualquier aplicación (utilizado durante la instalación para forzar a aceptar el acceso a los servicios de accesibilidad); eliminar aplicaciones; abusar del servicio de accesibilidad para realizar tareas, como las inyecciones o control remoto, lo que permitiría, entre otros, el robo de credenciales; capturar pulsaciones de teclado (keylog); y acceder a códigos de Google Authenticator.