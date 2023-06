Gli esperti di cybersicurezza tornano a segnalare la diffusione di trojan Android su scala globale. Dopo i report di ESET riguardanti il malware GravityRAT che ruba i backup di WhatsApp alla ricerca di informazioni sensibili da sfruttare per scopi malevoli, è il team di ThreatFabric a lanciare l’allarme per la nuova campagna riguardante il trojan Anatsa, che starebbe colpendo i clienti bancari di vari paesi ancora da marzo 2023. Si tratta della seconda volta che Anatsa torna in azione sui dispositivi mobili Android, dopo una precedente campagna individuata nel novembre 2021.

Il malware Anatsa è tornato a colpire Android

Questa campagna, stando a quanto compreso da ThreatFabric, vedrebbe la diffusione del virus in questione tramite il Play Store ufficiale e altri app store di terze parti. Solo mediante il negozio firmato Google, però, avrebbe raggiunto oltre 30.000 dispositivi. A potenziare il reach di Anatsa è una campagna di malvertising online, che promuoverebbe applicazioni infette nei browser durante la ricerca di determinati servizi.

Ad esempio, Anatsa si nasconde in applicazioni di visualizzazione e modifica di PDF, oppure in intere suite di strumenti per ufficio e produttività.

Le segnalazioni di ThreatFabric hanno gradualmente portato alla rimozione delle app infette da Google, ma ogni volta i malintenzionati del caso tornano a caricare Anatsa in servizi differenti, pulendo il codice dalle stringhe identificate già come dannose dal processo di revisione di Google. Una volta installate sul dispositivo mobile della vittima, le app richiedono il payload da una pagina GitHub mascherandolo come componente aggiuntivo per i servizi di utilità.

Dopodiché, una volta infiltratosi nello smartphone, Anatsa raccoglie informazioni finanziarie come credenziali del conto bancario, dettagli della carta di credito, informazioni di pagamento e non solo, sovrapponendo le pagine false di phishing quando l’utente cerca di avviare la propria app bancaria legittima.

Al momento l’offensiva sta riguardando principalmente Stati Uniti, Regno Unito, Germania, Austria e Svizzera, ma non si esclude una rapida diffusione anche in Italia e in altre parti d’Europa. Per questo motivo, consigliamo come da prassi di prestare molta attenzione alle app che scaricate dal Play Store e tramite app store di terze parti.