Um perigoso trojan bancário Android está se espalhando novamente através da Google Play Store, escondendo-se dentro do que parece ser um aplicativo simples de leitor de documentos. O aplicativo já foi baixado mais de 100.000 vezes, colocando um grande número de usuários Android em sério risco de roubo financeiro e perda de dados pessoais.
descoberta e escopo
O malware em questão é o Anatsa, também conhecido como TeaBot, que apareceu pela primeira vez em 2020. Desde seus primeiros dias, evoluiu para uma das ameaças bancárias Android mais sofisticadas descobertas em operação. Ele foi construído para roubar credenciais bancárias, registrar digitação e realizar transações fraudulentas, tudo sem que a vítima perceba nada de errado.
A variante mais recente expandiu seu alcance para atingir mais de 831 instituições financeiras em todo o mundo, incluindo aplicativos bancários, plataformas de investimento e serviços de criptomoedas. Pesquisadores do Zscaler ThreatLabz identificaram o aplicativo malicioso como um dropper disfarçado de gerenciador de arquivos e ferramenta de leitura de documentos.
vetor e exploração
De acordo com o relatório, o aplicativo segue um roteiro agora familiar: parece completamente inofensivo quando instalado pela primeira vez, depois puxa silenciosamente o payload real do Anatsa de um servidor remoto em segundo plano. Este método ajuda a escapar das verificações de segurança que o Google realiza em aplicativos antes que eles vivam na Play Store.
O que torna esta campanha particularmente distinta é o quão bem o aplicativo mantém sua cobertura. Se o malware detecta que está sendo executado em um ambiente de análise, ou se não consegue alcançar seu servidor de comando e controle, ele simplesmente mostra uma interface de gerenciador de arquivos funcional para o usuário.
análise técnica detalhada
O aplicativo listado na Play Store sob o nome de pacote com.westhorizont.appsforge.filehorizon_explorereaddocuments apresentava-se como uma ferramenta legítima de gerenciamento de arquivos e leitura de documentos. Uma vez baixado, o instalador se conecta a um servidor remoto e, se o dispositivo passar em suas verificações, baixa o payload completo do trojan bancário Anatsa disfarçado como uma atualização de aplicativo rotineira.
Para tornar a detecção ainda mais difícil, o instalador usa decodificação de strings em tempo de execução alimentada por uma chave DES gerada dinamicamente. O payload está escondido dentro de um arquivo ZIP corrompido com flags de compactação e criptografia inválidas, o que faz com que a maioria das ferramentas de análise estática falhe completamente.
impacto e alcance
Uma vez que o Anatsa está totalmente ativo em um dispositivo, ele começa a observar o usuário abrir qualquer aplicativo bancário ou financeiro. Quando detecta um, ele sobrepõe uma tela de login falsa que espelha o aplicativo real, enganando o usuário para que insira suas credenciais diretamente no malware.
Essas páginas falsas são baixadas frescas do servidor C2 e são personalizadas para qualquer aplicativo financeiro encontrado no dispositivo. O trojan também executa um keylogger embutido que registra tudo o que o usuário digita, e criptografa toda a comunicação com seu servidor C2 usando uma chave XOR de um único byte para manter seu tráfego bem escondido de ferramentas de monitoramento de rede.
medidas de mitigação recomendadas
Para se manter seguro, os usuários Android devem revisar cuidadosamente as permissões que qualquer aplicativo solicita antes de concedê-las. Se um leitor de documentos estiver pedindo acesso a mensagens SMS ou configurações de acessibilidade, isso é um sinal claro de alerta vermelho. Também é sábio ficar com aplicativos de desenvolvedores verificados, ler avaliações recentes de usuários antes de instalar e manter o Google Play Protect ativado em todos os momentos no dispositivo.
perguntas frequentes
Como remover o Anatsa? Desinstale o aplicativo suspeito e execute uma verificação completa. É seguro baixar da Play Store? Sim, mas verifique desenvolvedores e permissões. Quais apps são alvos? Bancos, investimentos e criptomoedas.