Allarme Anatsa: il malware Android che si sta diffondendo in Europa

Si chiama Anatsa ed è un trojan bancario per mobile coinvolto in una campagna scoperta dagli esperti di sicurezza nel corso di marzo 2023.

A rendere questo malware particolarmente pericoloso è la sua diffusione: oltre a Stati Uniti e Regno Unito, infatti, Anatsa si sta diffondendo rapidamente in paesi come Germania, Austria e Svizzera. Tutto ciò, come appare evidente, potrebbe lasciare pensare anche all’Italia come un potenziale futuro obiettivo per i cybercriminali.

Secondo i ricercatori di sicurezza di ThreatFabric, che hanno monitorato l’evolversi della situazione, gli aggressori stanno distribuendo il loro malware tramite Play Store, l’app store ufficiale di Android, ottenendo finora oltre 30.000 installazioni.

ThreatFabric ha scoperto una precedente campagna Anatsa su tale store nel novembre 2021, quando il trojan è stato installato oltre 300.000 volte attraverso diverse app (gestori di PDF, scanner di codici QR, software per fitness tracker e non solo).

Anatsa è un trojan bancario che si sta diffondendo in Austria, Germania e Svizzera

Nel marzo 2023, dopo una pausa di sei mesi nella distribuzione del malware, i criminali informatici hanno lanciato una nuova campagna di malvertising che porta le potenziali vittime a scaricare le app utilizzate come dropper da Google Play.

Le app dannose continuano ad appartenere, in prevalenza, alla categoria ufficio/produttività, fingendosi app di visualizzazione ed editing di PDF e suite per ufficio.

Ogni volta che ThreatFabric ha segnalato l’app dannosa a Google ed è stata rimossa dallo store, gli aggressori sono tornati rapidamente caricando un nuovo dropper con nome diverso dal precedente.

In tutti e cinque i casi di malware identificati finora, le app sono state inviate a Google Play come “pulite” e sono state successivamente aggiornate con codice dannoso, una tecnica molto diffusa in questo ambiente.

Una volta installate sul dispositivo della vittima, le app dropper richiedono una risorsa esterna ospitata su GitHub, da dove vengono scaricati i payload Anatsa mascherati da componenti aggiuntivi del software.

Quali sono i rischi?

Anatsa raccoglie informazioni sensibili come credenziali del conto bancario, dettagli della carta di credito, informazioni di pagamento e simili, sovrapponendo le pagine di phishing in primo piano quando l’utente tenta di avviare la propria app bancaria legittima.

Nella sua versione attuale, il malware supporta il targeting di quasi 600 app finanziarie di istituti bancari presenti in tutto il mondo. Ciò rende questo trojan bancario uno dei più temibili agenti malevoli della sua categoria.