Dopo alcuni mesi di silenzio, gli esperti di ThreatFabric hanno rilevato almeno cinque diverse campagne malware dal mese di novembre 2023. Ignoti cybercriminali hanno colpito migliaia di utenti in Europa, nascondendo Anatsa in cinque app Android pubblicate sul Google Play Store.
PDF reader con malware incluso
I ricercatori hanno individuato circa 150.000 infezioni in Germania, Spagna, Slovacchia, Repubblica Ceca e Regno Unito. Le app hanno spesso raggiunto i primi posti tra le nuove app gratuite, quindi gli utenti sono stati ingannati dalla loro popolarità. Tutte sfruttano un processo multi-stadio. In pratica scaricano il payload dopo l’installazione per aggirare le protezioni di Android.
Tre delle cinque app sembrano PDF reader, mentre le altre due promettono di rimuovere i file inutili dal dispositivo. Una di esse è stata scaricata oltre 100.000 volte. Al momento, Google ha rimosso quattro app dal Play Store.
L’approccio multi-stadio prevede il download dei componenti infetti dal server C2 (command and control). Ciò ha permesso anche di aggirare le restrizioni di Android 13 sull’uso del servizio di accessibilità. Il trucco, usato dalle app per la rimozione dei file, è dichiarare una funzionalità fasulla, ovvero la necessità di ibernare l’app per ridurre i consumi.
Inizialmente, l’uso del servizio di accessibilità non comporta nessun problema. Tuttavia, una settima dopo, viene rilasciato un aggiornamento che altera la funzionalità dichiarata, consentendo l’esecuzione di operazioni automatiche, come il tap su un pulsante.
Anatsa è un trojan bancario, quindi l’obiettivo dei cybercriminali è ottenere i dati per l’accesso al conto corrente o quelli della carta di credito. Gli utenti devono prestare molta attenzione all’elenco dei permessi.