El troyano de banca Anatsa, también conocido como TeaBot, continúa evolucionando como una de las amenazas de malware Android más sofisticadas dirigidas a instituciones financieras de todo el mundo.
Descubierto por primera vez en 2020, este software malicioso ha demostrado una notable persistencia en la infiltración de dispositivos Android a través de la tienda oficial de Google Play, donde se disfraza de aplicaciones legítimas de lectura de documentos para robar credenciales de los usuarios y monitorear las teclas.
El malware emplea una técnica de cuentagotas sofisticada, distribuyendo aplicaciones aparentemente benignas a través del mercado oficial de Google que aparecen como administradores de archivos estándar o lectores de documentos.
Ejemplo de una aplicación Anatsa Decoy en Google Play Store (Fuente – ZScaler)
Una vez instaladas, estas aplicaciones señuelo descargan en silencio las cargas de útiles maliciosas disfrazadas de actualizaciones de software de rutina de los servidores de comando y control, sin pasar por alto los mecanismos de seguridad de Google Play Store.
Las últimas campañas han ampliado significativamente el alcance de Anatsa para apuntar a más de 831 instituciones financieras en múltiples continentes, incluidas regiones recién agregadas como Alemania y Corea del Sur, junto con numerosas plataformas de criptomonedas.
Analistas de ZSCaler identificado que muchas de estas aplicaciones de señuelos maliciosos han excedido individualmente 50,000 descargas, contribuyendo a un ecosistema más amplio donde 77 aplicaciones maliciosas de varias familias de malware han logrado colectivamente más de 19 millones de instalaciones.
Los investigadores señalaron que Anatsa ha simplificado su mecanismo de entrega de carga útil al reemplazar el código dinámico de la carga de archivos ejecutables remotos de Dalvik con instalación directa de la carga útil maliciosa central.
Mecanismos avanzados de evasión y persistencia
La variante ANATSA actual implementa técnicas antianálisis sofisticadas que mejoran significativamente sus capacidades de evasión de detección.
Comportamiento de ejemplo del instalador ANATSA dependiendo del resultado de las verificaciones anti-análisis (fuente-ZScaler)
El malware ahora emplea el descifrado de tiempo de ejecución estándar de cifrado de datos, que genera dinámicamente las claves de DES para descifrar cada cadena durante la ejecución, lo que hace que el análisis estático sea considerablemente más desafiante para los investigadores de seguridad.
El malware utiliza archivos zip corruptos con indicadores de compresión y cifrado no válidos para ocultar archivos DEX, que se implementan durante el tiempo de ejecución. Esta técnica explota las debilidades en la validación estándar del encabezado ZIP utilizada por las herramientas de análisis mientras mantiene la compatibilidad con los dispositivos Android.
Una vez instalado correctamente, Anatsa solicita permisos de accesibilidad y habilita automáticamente los privilegios críticos del sistema, incluidos System_alert_Window, Read_SMS y USE_FULL_SCREEN_INTENT.
La comunicación con los servidores de comando y control se produce a través de canales encriptados utilizando una clave de cifrado XOR de un solo byte (valor decimal 66), con el malware manteniendo conexiones a múltiples dominios C2 que incluyen 185.215.113.108:85 y 193.24.123.18:85 para redundancia y persistencia.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
