Los investigadores de amenazas han identificado una nueva campaña sofisticada de los troyanos de banca Anatsa específicamente dirigidos a clientes bancarios móviles en los Estados Unidos y Canadá, marcando la tercera ofensiva importante del malware contra las instituciones financieras de América del Norte.
La última campaña representa una escalada significativa en el panorama de amenazas, con ciberdelincuentes infiltrando con éxito la tienda oficial de Google Play para distribuir su carga útil maliciosa disfrazada de aplicaciones legítimas.
Los investigadores de seguridad informan que el malware ya ha logrado más de 50,000 descargas antes de la detección y eliminación.
Capacidades sofisticadas de adquisición de dispositivos
Anatsa, también conocida como TeaBot, es un troyano bancario altamente sofisticado que ha sido monitoreado activamente por expertos en ciberseguridad desde 2020.
El malware se especializa en ataques de adquisición de dispositivos, lo que permite a los ciberdelincuentes robar credenciales bancarias a través de ataques superpuestos, pulsaciones de registro y ejecutar transacciones fraudulentas directamente desde dispositivos infectados.
Investigadores de amenazas clasificar El grupo detrás de Anatsa como “uno de los operadores más prolíficos en el panorama móvil de Crimeware”, señalando sus tasas de éxito consistentemente altas en múltiples campañas. La campaña Anatsa sigue un enfoque calculado de varias etapas diseñado para evadir la detección.
Los actores de amenaza primero establecen perfiles de desarrolladores legítimos en Google Play y cargan aplicaciones aparentemente benignas como lectores de PDF, limpiadores de teléfonos o administradores de archivos.
Malware bancario en Google Play
Estas aplicaciones funcionan normalmente durante semanas o meses, construyendo bases de usuario sustanciales antes de que se implementen actualizaciones maliciosas. La última campaña norteamericana ejemplifica esta estrategia.
Una aplicación de lector de PDF malicioso se subió a los tres primeros en la categoría “Top Free Tools” en la tienda de Google Play de EE. UU. Antes de ser armado aproximadamente seis semanas después de su lanzamiento inicial.
El análisis de seguridad revela que Anatsa emplea ataques superpuestos particularmente engañosos dirigidos a aplicaciones bancarias.
Cuando las víctimas intentan acceder a sus aplicaciones de banca móvil, el malware muestra mensajes de mantenimiento falsos que leen “Mantenimiento programado: actualmente estamos mejorando nuestros servicios y tendremos todo de nuevo en funcionamiento en breve. Gracias por su paciencia”.
Esta táctica tiene propósitos duales: ocultar la actividad maliciosa al tiempo que evita que los usuarios se comuniquen con la atención al cliente legítima, retrasando así la detección de operaciones fraudulentas.
Expandir la lista de objetivos y el alcance geográfico
La campaña actual demuestra las ambiciones en expansión de Anatsa, y los investigadores observaron una lista de objetivos más amplia que abarca una gama más amplia de aplicaciones de banca móvil estadounidense.
El malware ahora puede apuntar a más de 650 instituciones financieras en todo el mundo, con un enfoque particular en los principales bancos norteamericanos, incluidos JP Morgan, Capital One, TD Bank y Schwab.
La ventana de distribución corta pero impactante del 24 al 30 de junio resalta la capacidad de los operadores para maximizar el daño al tiempo que minimiza la exposición a las contramedidas de seguridad.
Los expertos en ciberseguridad están instando a las instituciones financieras a alertar inmediatamente a los clientes sobre los riesgos de descargar aplicaciones de cualquier fuente, incluidas las tiendas oficiales de aplicaciones.
Se aconseja a las organizaciones que implementen un monitoreo mejorado para la actividad inusual de la cuenta del cliente y educen a los usuarios sobre los peligros de otorgar permisos de servicio de accesibilidad a aplicaciones innecesarias.
La campaña de Anatsa subraya el panorama de amenazas en evolución que enfrentan a los clientes de la banca móvil, lo que demuestra que incluso las tiendas oficiales de aplicaciones no pueden garantizar una protección completa contra operaciones sofisticadas de malware dirigidas a activos financieros.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
