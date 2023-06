I ricercatori di sicurezza di ThreatFabric hanno scoperto una nuova campagna di malware che sta interessando l’ecosistema Android. Il malware è il già noto “Anatsa” e si comporta come tutti gli altri virus bancari: l’obiettivo è rubare le credenziali per l’accesso ai servizi di home baning e svuotare i conti.

ThreatFabric osservacome il malware si stia propagando attraverso il Play Store, tramite applicazioni che hanno superato oltre 30mila installazioni. La campagna sarebbe iniziata già nel novembre 2021 quando il trojan era stato installato oltre 300mila volte tramite una finta app che faceva da scanner PDF, di codici QR, e client simili ad Adobe Illustrator ed applicazioni per il fitness.

La nuova campagna di Anatsa, che ha preso il via nel marzo 2023, si sofferma principalmente su applicazioni presenti nella categoria “Ufficio e produttività”. La maggior parte di queste sono editor e viewer di PDF e suite per ufficio.

ThreatFabric ha provveduto a segnalare le applicazioni dannose a Google che sono state immediatamente rimosse dallo Store, ma ciò non ha impedito agli aggressori di caricarne di nuove. A quanto pare inizialmente leapp sono inviate a Google in modo pulito, e solo successivamente vengono aggiornate con il codice dannoso che prevede il collegamento ad una risorsa esterna ospitata su GitHub che scarica i payload Anatsa mascherati da componenti aggiuntivi per il riconoscimento di testo per Adobe Illustrator.

Il malware raccoglie le informazioni finanziarie come le credenziali del conto bancario, i dettagli della carta di credito e le informazioni di pagamento sovrapponendo le pagine di phishing a quelle pulite quando l’utente tenta di avviare la propria app di internet banking.

Una volta rubate le informazioni, il malware inizia ad eseguire frodi e transazioni per conto della vittima, con un processo automatizzato che porta al furto di denaro. “Poiché le transazioni vengono avviate dallo stesso dispositivo utilizzato regolarmente dai clienti, è molto difficile per i sistemi antifrode bancari rilevare il malware”, spiega ThreatFabric.

Gli importi rubati vengono convertiti in criptovalute e poi inviati su wallet dei malviventi.