Attacco globale al banking mobile: il trojan Anatsa infetta Google Play

Gli utenti Android in almeno cinque nazioni sono stati presi di mira dal trojan bancario Anatsa attraverso depositi maligni caricati su Google Play. Questa allarmante notizia è stata segnalata da ThreatFabric, un'azienda specializzata nella rilevazione di minacce informatiche. I depositi identificati, che hanno raggiunto oltre 30.000 installazioni attraverso il negozio di applicazioni, erano programmati per inviare una richiesta a una pagina GitHub per recuperare un URL che avrebbe scaricato il payload finale, sempre da GitHub.

Una sofisticata catena di infezione nel mirino di Google

Il primo deposito è stato scoperto nel marzo 2023, camuffato come un'applicazione lettore di PDF, con il trojan che si spacciava per un componente aggiuntivo per essa. Google ha rimosso l'applicazione maligna poco dopo essere stata allertata, ma un secondo deposito, anch'esso sotto le mentite spoglie di un lettore di PDF e utilizzando la stessa catena di infezione, è riemerso un mese dopo. Nonostante la rimozione di questa applicazione maligna, un altro deposito (sempre un lettore PDF) è riemerso entro un mese, con altri due (entrambi lettori di documenti) identificati a maggio e giugno.

Strumenti sofisticati e obiettivi globali

Secondo ThreatFabric, il deposito più recente è ancora disponibile per il download su Google Play. La società di sicurezza riferisce che ciascuno dei depositi identificati ha ricevuto un aggiornamento in un certo momento, presumibilmente per aggiungere funzionalità maligne. Inoltre, l'analisi rivela che gli attori maligni possono avere diverse app pubblicate nello store contemporaneamente sotto diversi account sviluppatore, ma solo una agisce in modo malevolo, mentre l'altra funge da riserva da utilizzare dopo il ritiro. Il bersaglio dell'attuale campagna sono le banche di Stati Uniti, Regno Unito, Germania, Austria e Svizzera, ma l'elenco degli obiettivi del trojan Anatsa comprende oltre 600 applicazioni bancarie mobili in tutto il mondo.

Furto di informazioni sensibili e transazioni fraudolente: l'insidioso modus operandi del trojan

Gli utenti sono stati attirati alle applicazioni maligne tramite pubblicità che li indirizzavano a Google Play, creando probabilmente un falso senso di sicurezza. Utilizzando sovrapposizioni, il malware può rubare informazioni sensibili come credenziali, dati delle carte di credito e informazioni su saldo e pagamenti, che gli attori minacciosi utilizzano poi per avviare transazioni fraudolente, attraverso la frode di presa di possesso del dispositivo (DTO). È stato segnalato che, dato che le transazioni vengono avviate dallo stesso dispositivo che i clienti bancari utilizzano regolarmente, è molto difficile per i sistemi anti-frode bancari rilevarli. ThreatFabric, che monitora Anatsa dal 2020, ha anche scoperto che le versioni del trojan utilizzate in questa campagna possono colpire oltre 90 nuove applicazioni bancarie mobili da Finlandia, Germania, Singapore, Spagna e Corea del Sud. Nonostante i depositi non vengano distribuiti in tutti questi paesi, ciò rivela sicuramente piani per colpire tali regioni.