5,5 milioni di installazioni di App Android portano a bordo il Trojan Ansata Banker

Gli analisti di Zscaler hanno avvertito che il trojan bancario Ansata si è nuovamente infiltrato nel Google Play Store. In totale, i ricercatori hanno trovato più di 90 applicazioni dannose installate oltre 5,5 milioni di volte. Oltre ad Anatsa, queste applicazioni distribuivano anche altri malware e adware.

Anatsa Banker (noto anche come Teabot) è un trojan che prende di mira più di 650 applicazioni di istituti finanziari in Europa, Stati Uniti, Regno Unito e Asia. Il malware ruba le credenziali degli utenti dalle banche online per successive transazioni fraudolente.

Ricordiamo che nel febbraio 2024 gli specialisti di Threat Fabric hanno riferito che dalla fine del 2023 Anatsa ha infettato almeno 150.000 utenti tramite Google Play, utilizzando vari dropper creati appositamente per entrare nella categoria principale dei Top New Free su Google Play.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ora Zscaler scrive che Anatsa si è nuovamente infiltrato nello store ufficiale di Android, ma ora il trojan bancario è distribuito solo attraverso due applicazioni: PDF Reader & File Manager e QR Reader & File Manager. Al momento dell’analisi, queste applicazioni avevano già accumulato più di 70.000 installazioni. Entrambi i dropper sono stati ora rimossi e Google ha dichiarato che i loro account sviluppatore sono stati sospesi.

I ricercatori affermano che i dropper che veicolano Anatsa continuano ad arrivare su Google Play a causa di un meccanismo di payload multistadio costituito da quattro fasi separate:

• Il dropper riceve la configurazione e le istruzioni necessarie dal server di controllo;
• Sul dispositivo viene scaricato e attivato un file DEX contenente il dropper dannoso;
• Viene scaricato un file di configurazione con l’URL del payload di Anatsa;
• Il file DEX trova e installa il payload (APK), completando l’infezione del dispositivo.

Inoltre, il file DEX menzionato esegue controlli per escludere la possibilità che il malware venga eseguito in una sandbox o in un emulatore. Una volta avviato su un nuovo dispositivo infetto, Anatsa trasmette ai suoi operatori la configurazione e i risultati della scansione dell’applicazione, quindi scarica le iniezioni corrispondenti alla posizione e al profilo della vittima.

Gli specialisti di Zscaler hanno notato che negli ultimi mesi hanno scoperto più di 90 applicazioni dannose su Google Play, che sono state installate complessivamente più di 5,5 milioni di volte. La maggior parte di essi fingono di essere strumenti utili, app per la personalizzazione dei dispositivi, utilità per la fotografia, utilità per la produttività e app per salute e fitness.

Fondamentalmente su Google Play prevalgono cinque famiglie di malware: Joker, Facestealer, Anatsa, Coper e diversi malware pubblicitari. Sebbene Anatsa e Coper costituiscano solo il 3% del numero totale di applicazioni dannose presenti su Google Play, va notato che sono molto più pericolose di altre, poiché sono in grado di commettere frodi direttamente sul dispositivo e di rubare informazioni riservate.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli