I ricercatori di ThreatFabric hanno scoperto una nuova campagna che sfrutta Anatsa, noto trojan bancario per Android. Stavolta il malware è stato nascosto in un app per la visualizzazione dei documenti PDF distribuita tramite Play Store. Google ha comunicato che l’app è stata rimossa.
Anatsa colpisce ancora
I ricercatori di ThreatFabric tracciano Anatsa da oltre quattro anni. La prima campagna è stata rilevata a novembre 2021. Altre app infette sono stati individuate a giugno 2023 e febbraio 2024. Anche gli esperti di Zscaler hanno trovato il malware sul Play Store a fine maggio 2024.
La nuova app distribuita a fine giugno tramite lo store statunitense di Google è Document Viewer – File Reader con oltre 50.000 download. L’app sembra funzionare normalmente consentendo la visualizzazione dei documenti PDF. Non contiene codice infetto quindi supera i controlli del Play Store. Quando il numero di download raggiunge una determinata soglia, lo sviluppatore rilascia un aggiornamento che contiene Anatsa.
Viene quindi installata un’app separata che riceve l’elenco delle app bancarie “bersaglio” dal server remoto. In questo caso si tratta delle app bancarie statunitensi. Quando l’utente avvia l’app legittima, Anatsa mostra una schermata simile a quella originale (overlay). L’ignara vittima invia così le credenziali di login ai cybercriminali. Il malware può inoltre registrare i tasti premuti (keylogging) ed effettuare transazioni automatiche.
Google ha eliminato l’app dal Play Store. Gli utenti sono protetti dalla funzionalità Play Protect (che non deve essere mai disattivata). Se l’app infetta è stata installata è consigliabile cambiare tutte le credenziali bancarie. È preferibile evitare l’installazione di app pubblicate da sviluppatori poco noti. Per visualizzare i PDF è meglio usare l’app di Adobe.
