Según nuevos datos de los investigadores de ThreatFabric, se ha observado que la campaña del troyano bancario Anatsa se dirige cada vez más a los bancos europeos.
Desde su resurgimiento en noviembre de 2023, la campaña Anatsa se ha manifestado en cinco oleadas distintas, dirigidas a varias regiones, incluidas Eslovaquia, Eslovenia y Chequia, junto con áreas previamente afectadas como el Reino Unido, Alemania y España.
En particular, la campaña ha evolucionado sus tácticas desde el año pasado, empleando métodos sofisticados como el abuso de AccessibilityService y procesos de infección de múltiples etapas.
Según un aviso publicado hoy por ThreatFabric, los droppers de Anatsa en Google Play han mostrado técnicas de evasión avanzadas, incluida la descarga dinámica de configuración y archivos ejecutables maliciosos desde servidores de comando y control (C2).
A pesar de las medidas de seguridad recientemente reforzadas en Google Play, los actores maliciosos persisten en explotar las vulnerabilidades, como lo demuestra el reciente resurgimiento de la campaña Anatsa.
ThreatFabric reveló el preocupante uso de código específico del fabricante, dirigido principalmente a dispositivos Samsung, lo que indica un enfoque personalizado por parte de los actores de amenazas. Si bien actualmente se centra en Samsung, es posible que en el futuro se realicen adaptaciones dirigidas a otros fabricantes, lo que subraya la necesidad de estar atentos a todos los tipos de dispositivos.
El flujo de ejecución de la campaña revela capas intrincadas de tácticas de evasión, incluida la elusión de las restricciones de Android 13, lo que acentúa la sofisticación del malware móvil contemporáneo.
Se insta a las instituciones financieras a educar a los clientes sobre los riesgos asociados con la instalación de aplicaciones desde tiendas oficiales y la habilitación de AccessibilityService innecesariamente.
“La detección y el monitoreo efectivos de aplicaciones maliciosas, junto con la observación del comportamiento inusual de las cuentas de los clientes, son cruciales para identificar e investigar posibles casos de fraude vinculados con malware móvil que se apodera de dispositivos como Anatsa”, se lee en el aviso.
Lea más sobre este malware: el troyano bancario Anatsa se dirige a bancos en EE. UU., Reino Unido y la región DACH
Con más de 100.000 instalaciones totales en cinco goteros en la campaña actual, la amenaza que representa Anatsa sigue siendo significativa, lo que destaca la importancia del monitoreo continuo y las medidas de seguridad proactivas.
Crédito de la imagen: Framesira/Shutterstock.com
