Los investigadores de seguridad cibernética han descubierto una campaña de malware bancaria Android que ha trabajador un troyano llamado Anatsa para atacar a los usuarios en América del Boreal utilizando aplicaciones maliciosas publicadas en el mercado oficial de aplicaciones de Google.
El malware, disfrazado de «puesta al día de PDF» en una aplicación de visor de documentos, ha sido atrapado sirviendo una superposición engañosa cuando los usuarios intentan aceptar a su aplicación bancaria, alegando que el servicio ha sido suspendido temporalmente como parte del mantenimiento programado.
«Esto marca al menos la tercera instancia de Anatsa centrando sus operaciones en clientes de banca móvil en los Estados Unidos y Canadá», dijo la compañía de seguridad móvil holandesa Amenazfabric en un mensaje compartido con Hacker News. «Al igual que con las campañas anteriores, Anatsa se está distribuyendo a través de la tienda oficial de Google Play».
Se sabe que Anatsa, asimismo conocida como TeaBot y Peque, está activo desde al menos 2020, generalmente entregado a las víctimas a través de aplicaciones de dosificador.
A principios del año pasado, se descubrió que Anatsa tenía el objetivo de los usuarios de dispositivos de Android en Eslovaquia, Eslovenia y Chechia al cargar por primera vez aplicaciones benignas disfrazadas de lectores de PDF y limpiadores de teléfonos a la tienda de juegos y luego introduciendo código astuto una semana a posteriori del tiro.
Al igual que otros troyanos de Android Banking, Anatsa es capaz de proporcionar a sus operadores características diseñadas para robar credenciales a través de ataques de superposición y keylogging, y realizar fraude de consumo de dispositivos (DTO) para iniciar transacciones fraudulentas de los dispositivos de las víctimas.
Amenazfabric dijo que las campañas de Anatsa siguen un proceso predecible, pero perfectamente engranado, que implica establecer un perfil de desarrollador en la App Store y luego divulgar una aplicación legítima que funcione como se anuncia.
«Una vez que la aplicación apetito una colchoneta de usuarios sustancial, a menudo en miles o decenas de miles de descargas, se implementa una puesta al día, incrustando el código astuto en la aplicación», dijo la compañía. «Este código integrado descarga e instala Anatsa en el dispositivo como una aplicación separada».
Luego, el malware recibe una repertorio dinámica de instituciones financieras y bancarias específicas de un servidor extranjero, lo que permite a los atacantes realizar robos de credenciales para la adquisición de la cuenta, el keylogging o las transacciones totalmente automatizadas utilizando DTO.
Un negociador crucial que permite a Anatsa esquivar la detección y amparar una incorporación tasa de éxito es su naturaleza cíclica, donde los ataques están intercalados por períodos sin actividad.
La aplicación recientemente descubierta dirigida al manifiesto de América del Boreal estafra como visor de documentos (Nombre del paquete APK: «com.stellarastra.maTtainer.astracontrol_managerreaderCleaner») y es publicado por un desarrollador llamado «Simulador de automóviles híbridos, Drift & Racing». Tanto la aplicación como la cuenta de desarrollador asociada ya no son accesibles en Play Store.
Las estadísticas de Sensor Tower muestran que la aplicación se publicó por primera vez el 7 de mayo de 2025, alcanzando el cuarto división en la categoría «Top Free -Tools» el 29 de junio de 2025. Se estima que se descargó aproximadamente de 90,000 veces.
«Este cuentagotas siguió al modus operandi establecido de Anatsa: inicialmente decidido como una aplicación legítima, se transformó en una maliciosa aproximadamente seis semanas a posteriori del tiro», dijo Amenazfabric. «La ventana de distribución para esta campaña fue breve pero impactante, de 24 al 30 de junio».
La variable Anatsa, según la compañía, asimismo está configurada para dirigir un conjunto más amplio de aplicaciones bancarias en los Estados Unidos, que refleja el creciente enfoque del malware en explotar entidades financieras en la región.
Otra característica inteligente incorporada en el malware es su capacidad para mostrar un aviso de mantenimiento espurio al intentar aceptar a la aplicación bancaria de destino. Esta táctica no solo oculta la actividad maliciosa que ocurre adentro de la aplicación, sino que asimismo evita que los clientes se pongan en contacto con el equipo de apoyo del porción, retrasando así la detección de fraude financiero.
«La última operación no solo amplió su inteligencia, sino que asimismo se basó en tácticas perfectamente establecidas dirigidas a las instituciones financieras de la región», dijo Amenazfabric. «Se alienta a las organizaciones en el sector financiero a revisar la inteligencia proporcionada y evaluar cualquier peligro o impacto potenciales en sus clientes y sistemas».
