Il trojan bancario Android noto come Anatsa ha ampliato il suo raggio d’azione includendo Slovacchia, Slovenia e Repubblica Ceca, come parte di una nuova campagna osservata a novembre 2023. Nonostante i meccanismi di rilevamento e protezione potenziati di Google Play, alcuni dropper nella campagna sono riusciti a sfruttare il servizio di accessibilità, dimostrando la capacità di eludere le impostazioni restrittive per il servizio di accessibilità in Android 13.
Anatsa, conosciuto anche come TeaBot e Toddler, viene distribuito sotto le mentite spoglie di app apparentemente innocue sul Google Play Store. Queste app, chiamate dropper, facilitano l’installazione del malware eludendo le misure di sicurezza di Google volte a concedere autorizzazioni sensibili.
La campagna osservata a novembre 2023 non è diversa, in quanto uno dei dropper si è mascherato da un’app di pulizia del telefono chiamata “Phone Cleaner – File Explorer” e ha utilizzato una tecnica chiamata versioning per introdurre il suo comportamento malevolo. Sebbene l’app non sia più disponibile per il download dallo store ufficiale Android, può ancora essere scaricata tramite altre fonti di terze parti discutibili.
Il trojan Anatsa è dotato di capacità per prendere il pieno controllo sui dispositivi infetti ed eseguire azioni per conto della vittima, oltre a rubare le credenziali per avviare transazioni fraudolente.
Questo abuso del servizio di accessibilità sembra essere mirato ai dispositivi Samsung, suggerendo che sia stato progettato per prendere di mira esclusivamente i dispositivi prodotti dall’azienda in un certo punto, sebbene altri dropper utilizzati nella campagna siano stati trovati agnostici rispetto al produttore.
Gli attori di questa minaccia preferiscono attacchi concentrati su specifiche regioni piuttosto che una diffusione globale, spostando periodicamente il loro focus per concentrarsi su un numero limitato di organizzazioni finanziarie, portando a un alto numero di casi di frode in breve tempo.