Este peligroso malware quiere vaciarte la cuenta del banco: así funciona el troyano Anatsa

El malware Anatsa nos recuerda que no debemos fiarnos de las aplicaciones más populares de Google Play y, especialmente, del servicio de accesibilidad

El malware Anatsa no es ni mucho menos nuevo, pues la primera vez que nos hacíamos eco de él fue en 2021. Ahora bien, igual que Joker o tantos otros, se resiste a morir y vuelve con nuevas variantes cada vez más elaboradas, capaz de saltarse todas las protecciones de Android con un único fin: robarte el dinero.

Threat Fabric ha analizado la última campaña de Anatsa, con las nuevas formas de evadir la detección, engañar a los usuarios y conseguir el control del móvil para lograr en última instancia robar el dinero al manipular la aplicación del banco.

Así funciona Anatsa

El malware en Android funciona hoy en día principalmente de dos modos: con los servicios de accesibilidad y descargando el código malicioso después de la instalación. Contra el primero Google lleva luchando desde hace unas versiones, limitando el servicio de accesibilidad a las aplicaciones de accesibilidad y restringiéndolos para las aplicaciones instaladas desde fuera de la tienda. No es suficiente.

Desde Threat Fabric cuentan que la forma común que han encontrado los agentes maliciosos de seguir distribuyendo malware en Google Play es esconderlo en aplicaciones que tienen "justificación" para usar los servicios de accesibilidad, como un limpiador del sistema que dice usarlos para hibernar aplicaciones.

El siguiente paso es promocionar la aplicación hasta que llegue al Top 3 a base de reseñas falsas, algo que ya sabemos que sigue siendo un problema a pesar de los intentos de Google de controlar el asunto. Así llega la aplicación a los usuarios (llegó al menos a 10.000 antes de ser eliminada de Google Play), aunque este es solo el inicio del trayecto.


Una de las aplicaciones con Anatsa en Google Play. Captura de Threat Fabric

Anatsa usa la técnica dropper, lo cual significa que la aplicación está limpia de serie, pero una semana más tarde descargará el código malicioso. La novedad aquí es que lo que descarga primero no es el código malicioso, sino la configuración del descargador del código malicioso. Esto permite evadir la detección, pues la aplicación inicial evita así tener referencias a descarga remota de código, que hace que salten las alertas en los sistemas de detección.

El objetivo final de la aplicación es tener el código malicioso y el servicio de accesibilidad activo, para poder realizar acciones sin la intervención del usuario, como por ejemplo abrir la aplicación del banco y/o realizar pagos.

Según Threat Fabric, las aplicaciones de apariencia inofensiva que más tarde se convierten en troyanos son cada vez más comunes en Google Play, pues permiten evadir las protecciones introducidas por Google en Android 13

En Android 13, las aplicaciones instaladas desde fuera de Google Play no pueden activar el servicio de accesibilidad hasta que elimines su restricción, pero como estas aplicaciones se instalan desde Google Play, no están restringidas.

Los consejos para protegernos frente a este tipo de amenazas son los habituales: no confíes en aplicaciones desconocidas a pesar de que estén en los primeros puestos de la tienda de aplicaciones, especialmente si te piden el permiso de accesibilidad.

Los creadores de malware han adaptado su modus operandi para adaptarse a los cambios de Android, así que estos días se centran en las aplicaciones que tienen una excusa para usar el servicio de accesibilidad. Este permiso es la principal puerta para el malware en Android, así que es vital no otorgarlo a la ligera.

Imagen de portada | Generada con IA

Más información | Threat Fabric

En Xataka Android | Mi Android tiene virus: consejos para evitar apps maliciosas y cómo eliminarlas

Ver todos los comentarios en https://www.xatakandroid.com

VER 0 Comentario

Portada de Xataka Android