Mai sentito parlare di Anatsa? Si tratta di un trojan bancario, che di recente ha preso di mira moltissimi utenti in Europa. Tra le sue tecniche di hacking, infetta i dispositivi Android tramite dropper di malware ospitati su Google Play. Arrivando così a raggiungere oltre 150mila app infettate da novembre 2023.
Per fortuna, Google ha già provveduto a identificare tutte le app colpite da Anatsa, e a rimuoverle da Google Play. Ma anche se ora gli utenti Android sono automaticamente protetti dalle versioni conosciute di questo malware da Google Play Protect, è meglio non abbassare la guardia. E sapere bene come funzioni questo trojan.
Come funziona il trojan bancario Anatsa
A riportare quest’esplosione di attacchi informatici sono stati i ricercatori della società di rilevamento delle frodi ThreatFabric, riporta Bleeping Computer. Essi hanno notato un aumento dell’attività di Anatsa da novembre 2023, con almeno 150.000 infezioni.
E questo grazie al fatto che le app dropper si sono evolute al punto da abusare del servizio di accessibilità di Android per aggirare le misure di sicurezza. Ma solo quelle presenti nelle versioni OS fino ad Android 13.
Ma come funziona questo trojan? In pratica Anatsa si presenta come PDF Reader o come app per la pulizia del tuo smartphone, con la promessa di liberare spazio sul dispositivo eliminando i file non necessari. App usate ogni giorno, non a caso, riporta ThreatFabric, una di queste false app, “Phone Cleaner – File Explorer“. ha avuto ben 10.000 download. E così anche “PDF Reader: File Manager“, che ha registrato più di 100.000 download.
Il problema è che si intrufola poi nel sistema e, tramite server esterno, comincia a rendere noto all’aggressore dati sensibili come quelli bancari (da qui il fatto che si tratti di un “trojan bancario”). La diffusione della campagna Anatsa è significativa e comporta appunto il rischio di frodi finanziarie.
Quali sono le app coinvolte dal trojan
I ricercatori di ThreatFabric hanno riferito a Bleeping Computer che il conteggio di 150.000 download per i dropper Anatsa su Google Play potrebbe essere sottostimato. Potrebbe addirittura arrivare a 200.000 perché hanno utilizzato le stime più basse per il conteggio.
E considerando che Anatsa lancia costantemente nuove ondate di attacchi, è giusto prevedere che il numero totale di download aumenterà ulteriormente. Sempre Bleeping riporta le app più scaricate da Google Play nonché veicolo di trasmissione di Anatsa:
- Pulizia telefono – Esplora file (com.volabs.androidcleaner)
- Visualizzatore PDF – Esplora file (com.xolab.fileexplorer)
- Lettore PDF: visualizzatore ed editor (com.jumbodub.fileexplorerpdfviewer)
- Pulizia del telefono: Esplora file (com.appiclouds.phonecleaner)
- Lettore PDF: File Manager (com.tragisoap.fileandpdfmanager)
Se volete avere ulteriori dettagli tecnici, vi rimandiamo agli approfondimenti del report di ThreatFabric. Noi vi consigliamo soltanto di evitare app di messaggistica che promettono sicurezza o migliorie nelle prestazioni pur provenendo da fornitori privi di una reputazione consolidata. Nonché di controllare l’elenco delle autorizzazioni richieste e di negare quelle non correlate allo scopo dell’app.
