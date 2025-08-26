 Anatsa ritorna sul Google Play Store in nuove app
Topic
Approfondimenti
Trending
tutti

Anatsa ritorna sul Google Play Store in nuove app

Una nuova versione di Anatsa (trojan bancario per Android) è stata scoperta in alcune app distribuite tramite Google Play Store (tutte eliminate).
Anatsa ritorna sul Google Play Store in nuove app
Sicurezza
Una nuova versione di Anatsa (trojan bancario per Android) è stata scoperta in alcune app distribuite tramite Google Play Store (tutte eliminate).
Gemini

I ricercatori di Zscaler hanno trovato sul Play Store una vecchia conoscenza. In alcune delle 77 app infette, scaricate complessivamente oltre 19 milioni di volte, era presente Anatsa, noto trojan bancario per Android. Altri malware individuati sono Joker e Harly, insieme a maskware e adware. Google ha eliminato tutte le app.

Malware in 77 app sul Play Store

Anatsa è stato scoperto per la prima volta nel 2020. È un trojan bancario che può rubare le credenziali di login, registrare i tasti premuti (keylogging) ed effettuare transazioni fraudolente. L’ultima versione individuata dagli esperti di Zscaler può intercettare le credenziali di oltre 150 app bancarie o per criptovalute di oltre 831 istituzioni finanziarie nel mondo.

Il trucco per aggirare i controlli del Play Store è piuttosto semplice. I cybercriminali pubblicano app innocue, come un semplice visualizzatore di documenti. Dopo l’installazione viene scaricato in background un presunto aggiornamento. Si tratta in realtà del payload che installa Anatsa sui dispositivi Android.

Per i recenti attacchi è stata implementata una tecnica anti-analisi. Ogni stringa viene decifrata a runtime tramite chiave DES. Inoltre, il nome del pacchetto viene frequentemente cambiato. Il payload DEX viene infine nascosto in un file JSON, successivamente cancellato.

Anatsa richiede i permessi di accessibilità, come molti trojan bancari. Scarica quindi il file di configurazione dal server remoto, insieme alle pagine fasulle di login che vengono mostrate quando l’utente avvia l’app bancaria legittima.

La maggioranza delle 77 app infette contengono adware (66,2%). Le altre nascondono Anatsa, Harly e Joker. Quest’ultimo ha funzionalità da spyware, in quanto può leggere/inviare messaggi, catturare screenshot, effettuare telefonate e rubare l’elenco dei contatti.

Google ha rimosso tutte le app. Gli utenti devono mantenere attiva la funzionalità Play Protect che rileva e blocca le app infette (anche quelle installate tramite sideloading). Per evitare rischi è meglio scaricare solo app da noti sviluppatori e prestare attenzione alle richieste dei permessi.

Fonte: Bleeping Computer

Pubblicato il 26 ago 2025

Link copiato negli appunti

Ti potrebbe interessare

Metti al sicuro i tuoi dispositivi digitali con TotalAV a un prezzo speciale

Metti al sicuro i tuoi dispositivi digitali con TotalAV a un prezzo speciale
I Migliori Browser con VPN Inclusa: Sono Davvero Sicuri?

I Migliori Browser con VPN Inclusa: Sono Davvero Sicuri?

"Abbiamo bloccato il tuo account": attenzione alla truffa che miete migliaia di vittime
Oltre 2 miliardi di account Gmail a rischio: ecco cosa fare subito

Oltre 2 miliardi di account Gmail a rischio: ecco cosa fare subito
Metti al sicuro i tuoi dispositivi digitali con TotalAV a un prezzo speciale

Metti al sicuro i tuoi dispositivi digitali con TotalAV a un prezzo speciale
I Migliori Browser con VPN Inclusa: Sono Davvero Sicuri?

I Migliori Browser con VPN Inclusa: Sono Davvero Sicuri?

"Abbiamo bloccato il tuo account": attenzione alla truffa che miete migliaia di vittime
Oltre 2 miliardi di account Gmail a rischio: ecco cosa fare subito

Oltre 2 miliardi di account Gmail a rischio: ecco cosa fare subito
Luca Colantuoni
Pubblicato il
26 ago 2025
Link copiato negli appunti