Pesquisadores identificaram um aplicativo malicioso na Google Play que chegou a mais de 50 mil instalações e atuava como instalador do trojan bancário Anatsa. A descoberta foi divulgada por analistas da Zscaler ThreatLabz, que passaram a rastrear a infraestrutura associada.
O que foi observado
O aplicativo estava disfarçado como um leitor de documentos e, após instalação, baixava e executava o payload completo do trojan Anatsa. Segundo o relatório disponível, a cadeia de ataque aproveita permissões concedidas pelo usuário no momento da instalação para obter capacidades elevadas no dispositivo e persistência.
Vetor e técnica
Os pesquisadores descrevem o aplicativo inicial como um instalador: ele não continha necessariamente todos os componentes maliciosos dentro do APK publicado, mas orquestrava o download de binários e scripts externos que implantavam o trojan Anatsa. Em dispositivos Android comprometidos, o malware monitora atividades relacionadas a apps bancários e utiliza técnicas como overlays e logging de credenciais para capturar dados financeiros.
Evidências e rastreamento
A Zscaler ThreatLabz identificou o aplicativo na Google Play e indicou IOCs (indicadores de comprometimento) ligados à campanha. O relatório técnico menciona domínios e servidores de comando e controle (C2) usados para receber dados exfiltrados e comandos remotos; os detalhes de endereços IP e domínios foram publicados pelos analistas para permitir detecção por equipes de segurança.
Impacto
O impacto é direto sobre vítimas individuais: perda de credenciais bancárias, roubo de fundos e comprometimento de sessões. O uso da Google Play como vetor torna a campanha particularmente perigosa porque confere aparente legitimidade ao aplicativo, aumentando a probabilidade de instalação por usuários menos desconfiados.
Limitações e o que não foi divulgado
O material público não quantifica o número de dispositivos efetivamente comprometidos além do número de downloads do instalador. Também não há, na fonte citada, indicação de vínculos com grupos específicos além da atribuição técnica do comportamento do malware e da infraestrutura de C2 rastreada pelos pesquisadores.
Recomendações práticas
- Remover imediatamente qualquer leitor de documentos suspeito instalado recentemente e verificar permissões concedidas.
- Verificar a autenticidade de aplicativos por desenvolvedor e avaliações — mas não confiar apenas nisso, dado que apps maliciosos chegam a lojas oficiais.
- Habilitar autenticação multifator (MFA) em contas bancárias e financeiras sempre que disponível.
- Monitorar logs de atividades e alertas de fraude bancária caso haja suspeita de comprometimento.
- Aplicar indicadores de comprometimento (IOCs) e blocos de rede fornecidos por fornecedores como parte da resposta.
Relevância para equipes de defesa
Para times de segurança, a ocorrência reforça três pontos: a necessidade de observabilidade em endpoints móveis, inclusão de vetores mobile nas avaliações de risco e a importância de feed de IOCs de fornecedores e comunidade. Operações de defesa devem integrar domínios/IPs publicados e revisar controles MDM/EMM para restringir instalações não autorizadas em dispositivos corporativos.
Fonte
As informações e recomendações neste texto foram extraídas do relatório dos analistas da Zscaler ThreatLabz e do artigo publicado pelo Cyber Security News, que documentou a detecção do aplicativo e as observações técnicas.