Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Campaña de ataque de malware móvil de Anatsa

Campaña de ataque de malware móvil de Anatsa

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Investigadores de ciberseguridad han descubierto una nueva ola de ataques de malware bancario contra Android orquestados a través del troyano Anatsa. Esta sofisticada amenaza, también conocida como TeaBot o Toddler, ha resurgido con una campaña dirigida a usuarios de Estados Unidos y Canadá, empleando tácticas engañosas a través de aplicaciones aparentemente legítimas publicadas en Google Play Store.

Malware disfrazado de herramientas de documentos

En el centro de la campaña se encuentra una aplicación de descarga disfrazada de utilidad llamada "Visor de Documentos - Lector de Archivos" (paquete APK: "com.stellarastra.maintainer.astracontrol_managerreadercleaner"). Haciéndose pasar por una herramienta PDF inofensiva, la aplicación fue publicada por un desarrollador llamado "Simulador de Coches Híbridos, Drift & Racing", un nombre que de por sí despierta sospechas. Tras acumular un número considerable de descargas, una actualización incorporó código malicioso que descargó e instaló Anatsa en los dispositivos de las víctimas.

Esta aplicación se lanzó el 7 de mayo de 2025 y alcanzó la cuarta posición en la categoría de Herramientas Gratuitas el 29 de junio de 2025. Para entonces, había acumulado aproximadamente 90 000 descargas antes de ser eliminada. Google ha confirmado la eliminación de esta aplicación y su cuenta de desarrollador asociada de Play Store.

Estrategias sigilosas y un manual familiar

La campaña de Anatsa sigue un ciclo probado y comprobado:

Implementación de aplicaciones legítimas : cargue una aplicación limpia y completamente funcional en Play Store.

Infección retardada : después de crear una base de usuarios considerable, envíe una actualización que contenga código malicioso.

Instalación silenciosa : el malware se instala como una aplicación separada, fuera de la vista del paquete original.

Asignación de objetivos : recibe una lista de instituciones financieras para atacar, obtenida dinámicamente de un servidor externo.

Este ataque multietapa forma parte de la estrategia de éxito duradero de Anatsa. Al permanecer inactiva en las primeras etapas y activarse solo tras ganar confianza y tracción, la campaña evita la detección temprana y maximiza su impacto durante un periodo de distribución breve pero efectivo, en este caso, del 24 al 30 de junio de 2025.

Capacidades avanzadas para el fraude financiero

Una vez instalado, Anatsa permite una variedad de actividades maliciosas destinadas a la explotación financiera:

  • Robo de credenciales mediante ataques de superposición y registro de teclas.
  • Fraude de apropiación de dispositivos (DTO) para iniciar transacciones directamente desde el dispositivo del usuario.
  • Obstrucción de las acciones del usuario mediante avisos de mantenimiento falsos que impiden el acceso a aplicaciones bancarias legítimas y retrasan la detección.

Estas superposiciones engañan a los usuarios haciéndoles creer que la aplicación de su banco está temporalmente fuera de servicio por mantenimiento, cuando en realidad se están robando credenciales y potencialmente usándolas para transacciones no autorizadas.

Evolución global de la amenaza Anatsa

Detectado por primera vez en 2020, Anatsa ha evolucionado considerablemente. A principios de 2024, atacó a usuarios de Eslovaquia, Eslovenia y la República Checa con tácticas similares; aplicaciones inofensivas se volvieron maliciosas semanas después de su lanzamiento. La capacidad del malware para adaptarse y expandir su alcance geográfico subraya su persistente amenaza para los clientes de banca móvil en todo el mundo.

La última campaña norteamericana refleja el creciente interés de Anatsa en las instituciones financieras estadounidenses y canadienses, así como su capacidad para adaptarse rápidamente y reutilizar métodos de ataque exitosos con pequeños ajustes.

Medidas de protección y respuesta de la industria

Se insta a las organizaciones del sector de servicios financieros a:

  • Monitorear actividad sospechosa originada desde dispositivos móviles.
  • Educar a los clientes sobre los peligros de las superposiciones de aplicaciones falsas y las actualizaciones no autorizadas.
  • Fortalecer los mecanismos de autenticación para detectar fraudes incluso cuando las credenciales estén comprometidas.

Principales señales de alerta para los usuarios:

  • Aplicaciones que solicitan permisos inusuales después de las actualizaciones.
  • Aparición repentina de superposiciones de "mantenimiento" en las aplicaciones bancarias.
  • Inconsistencias en el nombre del desarrollador de la aplicación o en la categoría de la aplicación.

Google ha declarado que las aplicaciones maliciosas implicadas en esta campaña han sido eliminadas de Google Play Store.

Reflexiones finales

La campaña de Anatsa es un duro recordatorio de la rapidez con la que se puede explotar la confianza en los ecosistemas digitales. Al integrarse en el entorno de confianza de Google Play Store, el malware logró infiltrarse en miles de dispositivos. La educación continua, la monitorización proactiva de la seguridad y una buena dosis de escepticismo siguen siendo la mejor defensa contra estas amenazas en constante evolución.

 

Tendencias

Mas Visto

Cargando...