Se utilizó una aplicación de lectura de documentos falsa en Google Play Store para distribuir el troyano bancario Anatsa para Android, exponiendo a más de 100.000 usuarios de Android a posible robo de credenciales y fraude financiero.
Zscaler ThreatLabz dijo en unnueva advertencia de Anatsaque la aplicación maliciosa utilizó el nombre del paquete com.westhorizont.appsforge.filehorizon_explorereaddocuments y actuó como gotero para el malware bancario.
Anatsa, también conocida como TeaBot, no es nueva. ZscalerEmpezó a investigardice que el malware apareció por primera vez en 2020 y puede robar credenciales, monitorear las pulsaciones de teclas y ayudar a los atacantes a realizar transacciones fraudulentas.
Cómo funcionó el ataque al lector de documentos falsos
La aplicación se presentó como un administrador de archivos y lector de documentos. Eso lo hizo parecer bastante útil para los usuarios cotidianos de Android que necesitaban abrir archivos PDF, documentos o archivos locales.
Después de la instalación, la aplicación se comportó como un cuentagotas. Se puso en contacto con la infraestructura controlada por el atacante y descargó la carga útil completa de Anatsa cuando el dispositivo pasó las comprobaciones.
Este enfoque por etapas ayudó a que la aplicación pareciera inofensiva durante la revisión inicial. La aplicación inicial parecía una utilidad básica, mientras que el troyano bancario real llegó más tarde como una carga útil separada.
| Etapa de ataque | Qué pasó | Por qué importaba |
|---|---|---|
| Listado de Play Store | La aplicación se hizo pasar por un lector de documentos y administrador de archivos. | Era más probable que los usuarios confiaran en una aplicación de utilidad sencilla |
| Instalación inicial | El gotero parecía benigno al principio. | Esto ayudó a que la aplicación evitara sospechas inmediatas. |
| Entrega de carga útil | La aplicación descargó Anatsa desde un servidor remoto. | El troyano bancario llegó después de la instalación. |
| Abuso de permisos | Anatsa solicitó Accesibilidad y acceso relacionado con SMS | El malware obtuvo las herramientas necesarias para el robo de credenciales. |
| superposición bancaria | Aparecieron pantallas de inicio de sesión falsas sobre aplicaciones financieras reales | Las víctimas podrían ingresar credenciales directamente en el malware |
Anatsa ahora apunta a cientos de aplicaciones financieras
Las últimas variantes de Anatsa han ampliado su alcance. Zscaler dijo que las versiones recientes están dirigidas a más de 831 instituciones financieras en todo el mundo, incluidos servicios bancarios, de inversión y de criptomonedas.
El malware comprueba el dispositivo infectado en busca de aplicaciones financieras instaladas. Cuando encuentra una aplicación específica, puede solicitar una página de inicio de sesión falsa coincidente desde su servidor de comando y control.
Luego, esa página falsa aparece sobre la aplicación legítima. La víctima cree que está iniciando sesión en su banco, pero las credenciales van al atacante.
Por qué las aplicaciones de lectura de documentos son señuelos útiles
Los lectores de documentos, los escáneres QR, los administradores de archivos y aplicaciones de utilidad similares siguen siendo disfraces comunes de malware en Android. Parecen normales, satisfacen necesidades amplias de los usuarios y no se sienten riesgosos de inmediato.
Zscaleranálisis más amplio de Anatsadijo que las aplicaciones señuelo de Anatsa han superado individualmente las 50.000 descargas en campañas anteriores, mientras que las aplicaciones maliciosas relacionadas reportadas por la compañía alcanzaron millones de instalaciones en conjunto.
El último lector de documentos falsos muestra que continúa el mismo patrón. El atacante no necesita convencer a los usuarios para que instalen una herramienta bancaria obvia, sólo una aplicación útil que parece inofensiva.
- Nombre del paquete: com.westhorizont.appsforge.filehorizon_explorereaddocuments
- Familia de malware: Anatsa, también conocido como TeaBot
- Disfraz de aplicación: lector de documentos y administrador de archivos
- Recuento de instalaciones reportadas: más de 100.000 descargas
- Principal riesgo: robo de credenciales bancarias y transacciones fraudulentas
El malware se esconde cuando falla el análisis
El cuentagotas incluye controles que dificultan el análisis. Si detecta una zona de pruebas, un emulador o un servidor de comando y control inalcanzable, simplemente puede mostrar una interfaz de administrador de archivos que funcione.
Ese comportamiento ayuda a la aplicación a mantener su cobertura. Un investigador, un escáner automatizado o un usuario cauteloso pueden ver sólo funciones básicas de administración de archivos en lugar de la cadena de malware oculta.
ZscalerActualización de ThreatLabzTambién enumeró indicadores vinculados a la entrega de carga útil y a los servidores de comando y control, incluidos 66.206.6[.]6, 162.252.173[.]37, 185.215.113[.]108 y 193.24.123[.]18.
Anatsa abusa de los permisos de Accesibilidad y SMS
Una vez instalado, Anatsa intenta persuadir al usuario para que conceda permisos de Accesibilidad. Este es uno de los pasos más peligrosos de la cadena de infección.
Google ha advertido en unPublicación de seguridad de Androidque los malos actores pueden explotar las API de accesibilidad para leer información confidencial, incluidas contraseñas y detalles financieros, directamente desde la pantalla y manipular dispositivos inyectando toques.
de googlePágina de ayuda de Play ProtectTambién dice que permisos como leer mensajes de texto, leer notificaciones y controlar un dispositivo a través de la accesibilidad suelen ser el objetivo de los malos actores para el robo de identidad y el fraude financiero.
| Permiso o comportamiento | Cómo Anatsa puede abusar de él |
|---|---|
| Acceso accesibilidad | Supervise pantallas, automatice toques y ayude a ataques de superposición |
| Leer SMS | Capture contraseñas de un solo uso y alertas bancarias |
| Recibir SMS | Interceptar mensajes de verificación entrantes |
| Mostrar sobre otras aplicaciones | Mostrar páginas de inicio de sesión bancarias falsas encima de aplicaciones reales |
| Modo de pantalla completa | Ocultar señales de advertencia visibles a la víctima. |
| Registro de teclas | Registre nombres de usuario, contraseñas y otros datos confidenciales ingresados |
Los ataques superpuestos hacen que los robos bancarios sean más difíciles de detectar
La técnica de superposición de Anatsa es sencilla pero eficaz. El malware espera hasta que el usuario abre una aplicación financiera específica y luego coloca una pantalla de inicio de sesión falsa encima de la real.
MITRE describesCaptura de entrada GUIcomo técnica de ataque móvil en la que los adversarios imitan las indicaciones del sistema operativo o de la aplicación para recopilar información confidencial de los usuarios.
En la práctica, la víctima puede ver una página de inicio de sesión que parece normal. Una vez que se ingresa el nombre de usuario, la contraseña u otros datos bancarios, la información se puede enviar al servidor del atacante.
Google Play Protect ayuda, pero los usuarios aún deben tener cuidado
Google Play Protect comprueba aplicaciones y dispositivos en busca de comportamientos dañinos. Google diceJugar Protegerescanea automáticamente aplicaciones en teléfonos Android y trabaja para evitar instalaciones de aplicaciones dañinas.
Google también dice que el servicio escanea 200 mil millones de aplicaciones de Android diariamente. Sin embargo, el malware estilo dropper sigue siendo difícil porque la primera aplicación puede parecer limpia mientras que la carga maliciosa llega más tarde.
ElGuía de Google Play Protectrecomienda mantener Play Protect activado y señala que puede advertir a los usuarios, deshabilitar aplicaciones, eliminar aplicaciones dañinas, restablecer permisos y bloquear instalaciones riesgosas de fuentes de mayor riesgo.
Lo que los usuarios de Android deberían hacer ahora
Los usuarios que instalaron el lector de documentos falsos deben eliminarlo inmediatamente. También deben ejecutar un análisis de Play Protect, reiniciar el dispositivo y revisar todas las aplicaciones con permisos de accesibilidad, SMS, notificaciones y superposición.
Cualquiera que haya utilizado aplicaciones bancarias, de inversión o criptográficas en un dispositivo afectado debe comunicarse con su institución financiera, cambiar las contraseñas desde un dispositivo limpio y revisar las transacciones recientes.
Los usuarios también deben evitar otorgar permisos de Accesibilidad a lectores de documentos, administradores de archivos, escáneres QR, aplicaciones de linterna, aplicaciones de fondos de pantalla u otras herramientas que claramente no necesitan ese nivel de control.
- Desinstale aplicaciones sospechosas de lectura de documentos o administrador de archivos.
- Abra Google Play, vaya a Play Protect y ejecute un análisis.
- Verifique los permisos de accesibilidad y elimine el acceso de aplicaciones desconocidas.
- Revise los permisos de SMS, notificaciones y visualización sobre otras aplicaciones.
- Cambie las contraseñas bancarias y criptográficas desde un dispositivo confiable.
- Habilite alertas de transacciones e informe transferencias sospechosas rápidamente.
Indicadores conocidos de compromiso
| Tipo | Indicador | Descripción |
|---|---|---|
| Nombre del paquete | com.westhorizont.appsforge.filehorizon_exploreleer documentos | Paquete de aplicación de cuentagotas malicioso |
| MD5 | f72b1a333fa28b133df6476561142d6a | Hash del instalador de Anatsa |
| URL de carga útil | hxxp://66.206.6[.]6:8080/disclaimer.txt | Punto final de entrega de carga útil |
| MD5 | 61d25684e6f42e386f40ee60f5c54dca | Encendió el hash de carga útil |
| URL C2 | hxxp://162.252.173[.]37:85/api | Servidor de comando y control de Anatsa |
| URL C2 | hxxp://185.215.113[.]108:85/api/ | Servidor de comando y control de Anatsa |
| URL C2 | hxxp://193.24.123[.]18:85/api/ | Servidor de comando y control de Anatsa |
| MD5 | 5f85261cf55ed10e73c9b68128092e70 | Muestra de cuentagotas asociada |
| MD5 | 9b6e5703bb0dc0ce8aa98281d0821642 | Muestra de cuentagotas asociada |
| MD5 | a4973b21e77726a88aca1b57af70cc0a | Muestra de cuentagotas asociada |
| MD5 | ed8ea4dc43da437f81bef8d5dc688bdb | Muestra de cuentagotas asociada |
Qué pueden aprender los desarrolladores y los bancos de esta campaña
Los desarrolladores de aplicaciones financieras deben asumir que el malware puede intentar leer pantallas, superponer mensajes de inicio de sesión falsos o automatizar la entrada a través de rutas de accesibilidad abusadas.
ElAccesibilidad de AndroidDatosGuía sensibleofrece a los desarrolladores una forma más nueva de proteger vistas confidenciales de espionaje no deseado basado en accesibilidad en versiones compatibles de Android.
Los equipos de seguridad también pueden asignar este comportamiento aTécnica de captura de entrada GUI de MITREal crear detecciones de amenazas móviles, reglas de fraude y advertencias para los clientes.
La lección principal es sencilla. Una lista de aplicaciones de apariencia limpia no garantiza una aplicación segura, especialmente cuando la aplicación luego solicita permisos poderosos que no están relacionados con su propósito declarado.
Los usuarios deben mantenerProteger Google Playhabilitado, instale solo las aplicaciones necesarias, revise cuidadosamente las reseñas recientes y trate las solicitudes de accesibilidad inesperadas como una señal de advertencia importante.
Preguntas frecuentes
¿Qué era el lector de documentos falso en Google Play?
Era una aplicación maliciosa de Android que se hacía pasar por un lector de documentos y un administrador de archivos. Zscaler ThreatLabz dijo que utilizó el nombre del paquete com.westhorizont.appsforge.filehorizon_explorereaddocuments y entregó el troyano bancario Anatsa.
¿Cuántas descargas tuvo el lector de documentos falso de Android?
Zscaler ThreatLabz dijo que el lector de documentos falsos tuvo más de 100.000 descargas en Google Play antes de ser identificado como un cuentagotas de Anatsa.
¿Qué es el malware Anatsa?
Anatsa, también conocido como TeaBot, es un troyano bancario de Android que puede robar credenciales bancarias, registrar pulsaciones de teclas, mostrar superposiciones de inicio de sesión falsas y ayudar a los atacantes a realizar transacciones fraudulentas.
¿Por qué Anatsa pide permisos de Accesibilidad?
Anatsa abusa de los permisos de accesibilidad para monitorear la actividad, automatizar toques, leer contenido confidencial de la pantalla y admitir ataques de superposición bancaria falsos. Un lector de documentos o un administrador de archivos normalmente no debería necesitar este nivel de acceso.
¿Qué deberían hacer los usuarios si instalaron el lector de documentos falsos?
Los usuarios deben desinstalar la aplicación, ejecutar un análisis de Google Play Protect, revisar la accesibilidad y los permisos de SMS, cambiar las contraseñas bancarias desde un dispositivo limpio, monitorear las cuentas en busca de transacciones sospechosas y comunicarse con su banco si notan fraude.