Investigadores descubren troyano «Anatsa» en cinco aplicaciones que ya han sido descargadas más de 30.000 veces

Un nuevo peligroso malware dirigido a usuarios de Android ha sido descubierto en una reciente investigación realizada por ThreatFabric. La campaña utiliza cinco aplicaciones diferentes, las cuales estaban disponibles en la tienda oficial de Google, Google Play Store, hasta hace muy poco tiempo. Hasta el momento, estas aplicaciones han sido descargadas más de 30.000 veces, poniendo en riesgo la seguridad y las cuentas bancarias de numerosos usuarios.

El troyano responsable de esta amenaza, llamado «Anatsa», es capaz de robar las credenciales bancarias de más de 600 aplicaciones de entidades financieras de todo el mundo. Para pasar desapercibidas, las aplicaciones infectadas se hacían pasar por lectores y editores de archivos PDF, categoría que generalmente goza de popularidad y confianza entre los usuarios de Android.

Según los investigadores, la campaña de malware «Anatsa» fue descubierta en marzo de 2023, aproximadamente seis meses después de la última campaña similar. En un principio, las aplicaciones Android infectadas eran seguras y cumplían con su función declarada. Sin embargo, los ciberdelincuentes añadieron el malware a través de actualizaciones posteriores, en un intento de eludir los sistemas de protección de Google Play Store.

Una vez que el dispositivo quedaba infectado, el malware utilizaba diversas técnicas para robar las credenciales bancarias de los usuarios, adaptándose a la aplicación bancaria o de criptomonedas utilizada por la víctima. Al iniciar las transacciones desde el dispositivo de la víctima, los sistemas antifraude de las entidades bancarias no lograban detectar estas transacciones como fraudulentas.

Para culminar el ataque, una vez realizadas las transacciones fraudulentas, el dinero era convertido a criptomonedas y transferido a una red extensa compuesta por «mulas» o intermediarios. Estas personas recibían una comisión por sus servicios y enviaban el resto de los fondos a los atacantes.

Aunque las aplicaciones infectadas ya han sido eliminadas de Google Play Store y las cuentas de los desarrolladores bloqueadas, se recomienda encarecidamente a los usuarios verificar si tienen alguna de estas aplicaciones instaladas en sus dispositivos y eliminarlas de inmediato. A continuación, se presenta la lista de las aplicaciones infectadas:

• PDF Reader – Edit & View PDF – lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools
• PDF Reader & Editor – com.proderstarler.pdfsignature
• PDF Reader & Editor – moh.filemanagerrespdf
• All Document Reader & Editor – com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs
• All Document Reader and Viewer – com.muchlensoka.pdfcreator

Es esencial que los usuarios de Android estén atentos a las posibles amenazas y descarguen aplicaciones solo de fuentes confiables. Mantener los dispositivos actualizados con las últimas versiones de seguridad y utilizar soluciones de protección confiables también son medidas fundamentales para protegerse contra el malware y los ciberataques