El malware Anatsa no es ni mucho menos nuevo, pues la primera vez que nos hacíamos eco de él fue en 2021. Ahora bien, igual que Joker o tantos otros, se resiste a morir y vuelve con nuevas variantes cada vez más elaboradas, capaz de saltarse todas las protecciones de Android con un único fin: robarte el dinero.
Threat Fabric ha analizado la última campaña de Anatsa, con las nuevas formas de evadir la detección, engañar a los usuarios y conseguir el control del móvil para lograr en última instancia robar el dinero al manipular la aplicación del banco.
Así funciona Anatsa
El malware en Android funciona hoy en día principalmente de dos modos: con los servicios de accesibilidad y descargando el código malicioso después de la instalación. Contra el primero Google lleva luchando desde hace unas versiones, limitando el servicio de accesibilidad a las aplicaciones de accesibilidad y restringiéndolos para las aplicaciones instaladas desde fuera de la tienda. No es suficiente.
Desde Threat Fabric cuentan que la forma común que han encontrado los agentes maliciosos de seguir distribuyendo malware en Google Play es esconderlo en aplicaciones que tienen "justificación" para usar los servicios de accesibilidad, como un limpiador del sistema que dice usarlos para hibernar aplicaciones.
El siguiente paso es promocionar la aplicación hasta que llegue al Top 3 a base de reseñas falsas, algo que ya sabemos que sigue siendo un problema a pesar de los intentos de Google de controlar el asunto. Así llega la aplicación a los usuarios (llegó al menos a 10.000 antes de ser eliminada de Google Play), aunque este es solo el inicio del trayecto.
Una de las aplicaciones con Anatsa en Google Play. Captura de Threat Fabric
Anatsa usa la técnica dropper, lo cual significa que la aplicación está limpia de serie, pero una semana más tarde descargará el código malicioso. La novedad aquí es que lo que descarga primero no es el código malicioso, sino la configuración del descargador del código malicioso. Esto permite evadir la detección, pues la aplicación inicial evita así tener referencias a descarga remota de código, que hace que salten las alertas en los sistemas de detección.
El objetivo final de la aplicación es tener el código malicioso y el servicio de accesibilidad activo, para poder realizar acciones sin la intervención del usuario, como por ejemplo abrir la aplicación del banco y/o realizar pagos.
Según Threat Fabric, las aplicaciones de apariencia inofensiva que más tarde se convierten en troyanos son cada vez más comunes en Google Play, pues permiten evadir las protecciones introducidas por Google en Android 13.
En Android 13, las aplicaciones instaladas desde fuera de Google Play no pueden activar el servicio de accesibilidad hasta que elimines su restricción, pero como estas aplicaciones se instalan desde Google Play, no están restringidas.
Los consejos para protegernos frente a este tipo de amenazas son los habituales: no confíes en aplicaciones desconocidas a pesar de que estén en los primeros puestos de la tienda de aplicaciones, especialmente si te piden el permiso de accesibilidad.
Los creadores de malware han adaptado su modus operandi para adaptarse a los cambios de Android, así que estos días se centran en las aplicaciones que tienen una excusa para usar el servicio de accesibilidad. Este permiso es la principal puerta para el malware en Android, así que es vital no otorgarlo a la ligera.
Imagen de portada | Generada con IA
Más información | Threat Fabric
En Xataka Android | Mi Android tiene virus: consejos para evitar apps maliciosas y cómo eliminarlas
Ver 0 comentarios