Malware Anatsa esvazia contas bancárias de usuários do Android

Imagem do Android vermelha

A ameaça do malware Anatsa continua pairando sobre os usuários do Android, demonstrando uma resiliência semelhante a ameaças infames como o Joker. O malware Anatsa esvazia contas bancárias de usuários do Android.

Malware Anatsa

Surgindo pela primeira vez em 2021, o Anatsa provou sua capacidade de evoluir, evitando a detecção e criando variantes mais complexas. O objetivo principal do malware permanece o mesmo: infiltrar-se sub-repticiamente nos dispositivos Android e fugir com o dinheiro suado dos usuários.

Numa análise recente conduzida pela Threat Fabric, a última campanha da Anatsa revela uma elevada sofisticação, permitindo-lhe contornar as medidas de segurança do Android e manipular aplicações bancárias para roubo financeiro.

O malware Android normalmente opera por meio de dois métodos principais: exploração de serviços de acessibilidade e download de código malicioso pós-instalação. O Google tem estado vigilante ao abordar o primeiro. Restringir serviços de acessibilidade a aplicações específicas e limitar a sua utilização àquelas instaladas a partir de fontes confiáveis. No entanto, estas medidas revelaram-se insuficientes para impedir a engenhosidade dos criadores de malware.

A ação do Anatsa

O Threat Fabric destaca que agentes mal-intencionados muitas vezes camuflam seus malwares em aplicativos aparentemente legítimos no Google Play, justificando o uso de serviços de acessibilidade. Por exemplo, um suposto aplicativo de limpeza de sistema pode alegar aproveitar os serviços de acessibilidade para hibernação de aplicativos. O próximo passo no plano nefasto envolve promover o aplicativo por meio de análises falsas, colocá-lo no Top 3 do ranking e alcançar uma base de usuários substancial – às vezes excedendo 10.000 instalações antes de ser removido do Google Play.

Anatsa emprega uma técnica de conta-gotas, em que a aplicação inicial é limpa na instalação. No entanto, uma semana depois, ele baixa clandestinamente a configuração do downloader de código malicioso. Essa abordagem estratégica permite que o malware evite a detecção, pois a aplicação inicial não possui referências explícitas ao download remoto de código, evitando alarmes nos sistemas de detecção.

malware-anatsa-esvazia-contas-bancarias-de-usuarios-do-android
magem: Reprodução | Gizchina


O objetivo final da Anatsa é ativar tanto o código malicioso como o serviço de acessibilidade, permitindo-lhe realizar ações sem necessitar de intervenção do utilizador. Isso inclui acessar aplicativos confidenciais, como aplicativos bancários, e executar transações financeiras. O Threat Fabric ressalta a tendência crescente de aplicativos aparentemente inócuos no Google Play se transformarem em cavalos de Tróia, contornando as proteções introduzidas no Android 13.

No Android 13, aplicativos de fontes externas não podem ativar o serviço de acessibilidade até que as restrições sejam suspensas. No entanto, Anatsa contorna esta restrição infiltrando-se em dispositivos através do Google Play, onde tais restrições não se aplicam. Como resultado, os utilizadores são aconselhados a ter cautela, evitando a tentação de confiar em aplicações desconhecidas apenas com base nas suas altas classificações na loja de aplicações, especialmente quando procuram permissões de acessibilidade.