La campaña del troyano bancario para Android Anatsa se ha expandido a Eslovaquia, Eslovenia y la República Checa en una nueva campaña observada en noviembre de 2023. La empresa de seguridad móvil ThreatFabric informa que algunos de los droppers de la campaña lograron explotar exitosamente el servicio de accesibilidad, a pesar de los mecanismos mejorados de detección y protección de Google Play. En total, la campaña involucra cinco droppers con más de 100,000 instalaciones. Anatsa se distribuye disfrazado de aplicaciones aparentemente inocuas en la tienda de Google Play, pero una vez instalado, el malware puede tomar el control total del dispositivo y robar credenciales para iniciar transacciones fraudulentas.
En junio de 2023, ThreatFabric reveló una campaña dirigida a clientes bancarios en los EE. UU., el Reino Unido, Alemania, Austria y Suiza utilizando aplicaciones droppers que se descargaron colectivamente más de 30,000 veces en la tienda oficial de Google Play. La última iteración observada en noviembre de 2023 involucra un dropper disfrazado de aplicación de limpieza de teléfonos llamada «Phone Cleaner – File Explorer«, que aprovechó una técnica llamada versioning para introducir su comportamiento malicioso, aunque ya no está disponible para descargar en la tienda oficial de Android.
Lo que hace que este dropper sea notable es su abuso específico del servicio de accesibilidad diseñado para dispositivos Samsung, lo que sugiere que fue diseñado para atacar exclusivamente teléfonos fabricados por la compañía. Además, los droppers pueden eludir las configuraciones restringidas de Android 13 imitando el proceso utilizado por los mercados para instalar nuevas aplicaciones sin deshabilitar su acceso a la funcionalidad del servicio de accesibilidad. Los actores detrás de esta campaña prefieren ataques concentrados en regiones específicas en lugar de una propagación global, cambiando periódicamente su enfoque para concentrarse en un número limitado de organizaciones financieras, lo que lleva a un alto número de casos de fraude en poco tiempo.
En otra campaña destacada, Fortinet FortiGuard Labs detalló la distribución del troyano de acceso remoto SpyNote, el cual se hace pasar por un servicio de monedero de criptomonedas legítimo basado en Singapur conocido como imToken para reemplazar las direcciones de monedero de destino y hacer transferencias de bienes ilícitas y controladas por los actores detrás de la campaña. SpyNote utiliza la API de accesibilidad para apuntar a los monederos criptográficos conocidos.
Vía The Hacker News