Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Campagna di attacco malware Anatsa Mobile

Campagna di attacco malware Anatsa Mobile

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto una nuova ondata di attacchi malware bancari per Android orchestrati tramite il trojan Anatsa. Questa minaccia sofisticata, nota anche come TeaBot o Toddler, è ricomparsa con una campagna rivolta agli utenti negli Stati Uniti e in Canada, impiegando tattiche ingannevoli attraverso applicazioni apparentemente legittime pubblicate sul Google Play Store.

Malware mascherato da strumenti per documenti

Al centro della campagna c'è un'app dropper camuffata da utility chiamata "Document Viewer - File Reader" (pacchetto APK: "com.stellarastra.maintainer.astracontrol_managerreadercleaner"). Spacciandosi per un innocuo strumento PDF, l'app è stata pubblicata da uno sviluppatore chiamato "Hybrid Cars Simulator, Drift & Racing", un nome che di per sé desta sospetti. Dopo aver accumulato un numero considerevole di download, un aggiornamento ha incorporato codice dannoso che ha scaricato e installato Anatsa sui dispositivi delle vittime.

Questa app in particolare è stata lanciata il 7 maggio 2025 e ha raggiunto la quarta posizione nella categoria Top Free - Strumenti entro il 29 giugno 2025. A quel punto, aveva accumulato circa 90.000 download prima di essere rimossa. Google ha successivamente confermato la rimozione di questa app e del relativo account sviluppatore dal Play Store.

Strategie furtive e un manuale familiare

La campagna Anatsa segue un ciclo collaudato:

Distribuzione legittima dell'app : carica un'app pulita e completamente funzionante sul Play Store.

Infezione ritardata : dopo aver creato una base di utenti considerevole, distribuisci un aggiornamento contenente codice dannoso.

Installazione silenziosa : il malware si installa come un'app separata, nascosta dal pacchetto originale.

Assegnazione dell'obiettivo : riceve un elenco di istituti finanziari da attaccare, recuperato dinamicamente da un server esterno.

Questo attacco a più fasi fa parte della strategia di successo duraturo di Anatsa. Rimanendo dormiente nelle fasi iniziali e attivandosi solo dopo aver ottenuto fiducia e trazione, la campagna evita il rilevamento precoce e massimizza il suo impatto durante una finestra di distribuzione breve ma efficace, in questo caso dal 24 al 30 giugno 2025.

Funzionalità avanzate per la lotta alle frodi finanziarie

Una volta installato, Anatsa consente una serie di attività dannose volte allo sfruttamento finanziario:

  • Furto di credenziali tramite attacchi overlay e keylogging.
  • Frode di acquisizione del dispositivo (DTO) per avviare transazioni direttamente dal dispositivo dell'utente.
  • Ostacolo alle azioni degli utenti tramite falsi avvisi di manutenzione che impediscono l'accesso alle app bancarie legittime e ritardano il rilevamento.

Queste sovrapposizioni ingannano gli utenti inducendoli a credere che l'app della loro banca sia temporaneamente inattiva per manutenzione, quando in realtà le credenziali vengono rubate e potenzialmente utilizzate per transazioni non autorizzate.

Evoluzione globale della minaccia Anatsa

Individuato per la prima volta nel 2020, Anatsa si è evoluto notevolmente. All'inizio del 2024, ha preso di mira utenti in Slovacchia, Slovenia e Repubblica Ceca utilizzando tattiche simili; app benigne si sono trasformate in malevole poche settimane dopo il rilascio iniziale. La capacità del malware di adattarsi ed espandere la propria diffusione geografica sottolinea la sua persistente minaccia per i clienti del mobile banking in tutto il mondo.

L'ultima campagna nordamericana riflette il crescente interesse di Anatsa per le istituzioni finanziarie statunitensi e canadesi, nonché la sua capacità di cambiare rapidamente strategia e riutilizzare metodi di attacco efficaci con piccole modifiche.

Misure di protezione e risposta del settore

Le organizzazioni del settore dei servizi finanziari sono invitate a:

  • Monitora le attività sospette provenienti dai dispositivi mobili.
  • Informare i clienti sui pericoli delle sovrapposizioni di app false e degli aggiornamenti non autorizzati.
  • Rafforzare i meccanismi di autenticazione per rilevare le frodi anche quando le credenziali sono compromesse.

Segnali di allarme chiave per gli utenti:

  • App che richiedono autorizzazioni insolite dopo gli aggiornamenti.
  • Comparsa improvvisa di sovrapposizioni di "manutenzione" sulle app bancarie.
  • Incongruenze nel nome dello sviluppatore dell'app o nella categoria dell'app.

Google ha dichiarato che le app dannose coinvolte in questa campagna sono state rimosse dal Google Play Store.

Considerazioni finali

La campagna Anatsa è un duro monito di quanto rapidamente la fiducia possa essere sfruttata negli ecosistemi digitali. Inserendosi nell'ambiente affidabile del Google Play Store, il malware è riuscito a infiltrarsi in migliaia di dispositivi. Formazione continua, monitoraggio proattivo della sicurezza e una sana dose di scetticismo rimangono la migliore difesa contro queste minacce in continua evoluzione.

 

Tendenza

I più visti

Caricamento in corso...