Gli esperti di cybersicurezza segnalano un aumento globale delle truffe telefoniche Android. Dopo il malware GravityRAT, che ruba i backup di WhatsApp per ottenere informazioni sensibili, il team di ThreatFabric ha lanciato l’allarme per un nuovo trojan chiamato Anatsa. Questo malware, che colpisce i clienti bancari di vari paesi, è attivo da marzo 2023 ed è la seconda volta che torna in azione sui dispositivi Android, dopo una precedente campagna nel novembre 2021.
Anatsa: come si comporta il virus?
Anatsa viene diffuso tramite il Play Store ufficiale e altri app store di terze parti. Solo tramite il negozio di Google, ha raggiunto oltre 30.000 dispositivi. La sua diffusione è potenziata da una campagna di malvertising online, che promuove applicazioni infette durante la ricerca di determinati servizi. Ad esempio, si nasconde in applicazioni di visualizzazione e modifica di PDF, o in intere suite di strumenti per ufficio e produttività.
Una volta installate sul dispositivo mobile della vittima, le app richiedono il payload da una pagina GitHub, mascherandolo come componente aggiuntivo per i servizi di utilità. Dopodiché, Anatsa raccoglie informazioni finanziarie come credenziali del conto bancario, dettagli della carta di credito, informazioni di pagamento e altro, sovrapponendo pagine false di phishing quando l’utente cerca di avviare la propria app bancaria legittima.
Attualmente, l’offensiva riguarda principalmente Stati Uniti, Regno Unito, Germania, Austria e Svizzera, ma è possibile una rapida diffusione anche in Italia e in altre parti d’Europa. Per questo motivo, è consigliabile prestare molta attenzione alle app che si scaricano dal Play Store e tramite app store di terze parti.