C'è un nuovo trojan bancario su Android, come difendersi da Anatsa
Rilevato un nuovo trojan bancario su Android chiamato Anatsa, nascosto dentro un’applicazione apparentemente legittima utile per leggere documenti e gestire file
In sintesi
- Il trojan bancario Anatsa, considerato tra i più insidiosi per Android, si è diffuso tramite un’applicazione apparentemente innocua, “Document Reader – File Manager”, pubblicata sul Google Play Store.
- Una volta attivato, Anatsa sfrutta le autorizzazioni di accessibilità per ottenere privilegi critici e intercettare dati e rubare credenziali e codici di autenticazione.
È stata rilevata un’applicazione Android apparentemente innocua, presentata come lettore di documenti e gestore di file e pubblicata sul Google Play Store che, in realtà, è un veicolo per la diffusione del trojan bancario Anatsa.
La scoperta mette ancora una volta in luce le difficoltà oggettive nel garantire la sicurezza anche all’interno degli store ufficiali, che ormai sono finiscono sempre più di frequente nel mirino dei malintenzionati digitali.
Cosa sappiamo del nuovo trojan bancario Anatsa
A individuare la minaccia è stato il team di Zscaler ThreatLabz, che ha scovato la minaccia all’interno dell’app Document Reader – File Manager, sviluppata da ISTOQMAH. Ciò che stupisce è che, nonostante la sua natura fraudolenta, l’app è riuscita a superare i controlli iniziali del Play Store, raggiungendo oltre 50 mila installazioni.
Anatsa, noto anche come TeaBot, circola dal 2020 ed è considerato uno dei trojan bancari più insidiosi per Android. Nato per sottrarre credenziali di accesso e intercettare le digitazioni tramite keylogging, nel tempo ha ampliato il proprio raggio d’azione includendo transazioni fraudolente e attacchi mirati alle app finanziarie.
Secondo ThreatLabz, le ultime versioni di Anatsa adottano strategie avanzate per eludere i sistemi di analisi e rilevamento che, in effetti, la rendono particolarmente difficile da individuare dagli strumenti di sicurezza tradizionali.
Nel caso specifico, l’applicazione agiva come dropper, presentandosi come uno strumento multifunzione per aprire PDF, scansionare documenti e gestire file attraverso un’interfaccia curata e credibile. Dopo l’installazione, il malware recuperava in modo silenzioso il payload di Anatsa da un server di comando e controllo, mascherandolo da semplice aggiornamento. Se i controlli di sicurezza non andavano a buon fine, l’app continuava a mostrare un finto file manager, mantenendo così la copertura.
Una volta attivato, Anatsa sfrutta le autorizzazioni di accessibilità per ottenere automaticamente privilegi critici come SYSTEM_ALERT_WINDOW e READ_SMS, cosa che gli consente di di sovrapporre schermate di phishing personalizzate alle app bancarie presenti sul dispositivo, intercettando credenziali e codici di autenticazione.
Come difendersi da app del genere?
Document Reader – File Manager non è un caso isolato con ThreatLabz che ha segnalayo la rimozione dal Play Store di altre 77 applicazioni malevole, che nel complesso avevano totalizzato circa 19 milioni di installazioni.
Trattandosi di applicazioni che, almeno in un primo momento, sembrano legittime, riconoscerle diventa sempre più complesso, anche perché come già detto riescono anche ad eludere i sistemi di sicurezza classici di Android.
Il rischio principale per gli utenti resta il furto delle credenziali bancarie e l’esecuzione di frodi automatizzate, per questo tutti coloro che posseggono uno smartphone Android sono invitati a prestare attenzione alle autorizzazioni richieste dalle app, diffidare di aggiornamenti inattesi e utilizzare strumenti di sicurezza come scanner antivirus affidabili.
