O trojan bancário Anatsa conseguiu, mais uma vez, infiltrar-se na loja oficial do Android, a Google Play, disfarçado de uma aplicação de visualização de PDF que acumulou mais de 50.000 instalações. O malware representa um perigo significativo, sendo capaz de assumir o controlo de contas bancárias.
Como funciona o engenhoso ataque do Anatsa?
Uma vez instalada, a aplicação maliciosa torna-se imediatamente ativa no dispositivo. O seu principal objetivo é monitorizar quando os utilizadores abrem aplicações bancárias, especificamente na América do Norte. Quando uma app alvo é iniciada, o Anatsa exibe uma sobreposição no ecrã, ou seja, uma janela falsa por cima da interface legítima do banco.
Segundo os investigadores da Threat Fabric, que detetaram e reportaram esta nova campanha à Google, o malware mostra uma mensagem falsa a informar sobre uma manutenção agendada ao sistema do banco. Esta notificação serve para ocultar a atividade maliciosa que decorre em segundo plano, como o registo de tudo o que é teclado (keylogging) ou a automatização de transações, impedindo ao mesmo tempo que as vítimas contactem o seu banco ou verifiquem as suas contas em busca de movimentos não autorizados.
Uma ameaça recorrente com um historial de sucesso
A Threat Fabric tem vindo a seguir o rasto do Anatsa na Google Play há vários anos, descobrindo múltiplas infiltrações sob o disfarce de ferramentas de utilidade e produtividade. O historial de campanhas é preocupante:
Novembro de 2021: 300.000 downloads.
Junho de 2023: 30.000 downloads.
Fevereiro de 2024: 150.000 downloads.
Maio de 2024: Uma campanha com duas apps (leitor de PDF e de códigos QR) somou 70.000 downloads.
A aplicação maliciosa mais recente descoberta pela Threat Fabric chama-se ‘Document Viewer – File Reader’ e foi publicada pelo developer ‘Hybrid Cars Simulator, Drift & Racing’.
A tática do "cavalo de Troia" moderno
Os operadores do Anatsa utilizam uma tática furtiva já demonstrada em casos anteriores. Inicialmente, a aplicação publicada na Google Play está "limpa", sem qualquer código malicioso, o que lhe permite passar pelos filtros de segurança e ganhar uma base de utilizadores considerável.
Quando a aplicação atinge um número de instalações suficientemente elevado, os atacantes lançam uma atualização. É esta atualização que introduz o código malicioso, que depois descarrega o payload do Anatsa de um servidor remoto e o instala como uma aplicação separada. A partir daí, o trojan contacta o seu servidor de comando e controlo (C2) para receber a lista de aplicações bancárias que deve monitorizar no dispositivo infetado. No caso desta campanha, o trojan foi ativado entre 24 e 30 de junho, seis semanas após o lançamento inicial da app na loja.
Fui infetado? O que devo fazer agora?
A Google já removeu a aplicação maliciosa da Google Play. No entanto, se instalou a ‘Document Viewer – File Reader’, é crucial agir imediatamente. Siga estes passos:
Desinstale a aplicação de imediato.
Execute uma análise completa ao sistema utilizando o Play Protect (integrado na Google Play).
Faça o reset às credenciais de acesso da sua conta bancária (nome de utilizador e palavra-passe).
O Anatsa encontra periodicamente formas de se infiltrar na Google Play, pelo que os utilizadores devem adotar uma postura vigilante: instale apenas aplicações de developers com boa reputação, verifique as avaliações de outros utilizadores, preste atenção às permissões solicitadas e mantenha no seu dispositivo apenas o número mínimo de aplicações necessárias.
Nenhum comentário
Seja o primeiro!