Le cheval de Troie bancaire Anatsa, diffusé via Google Play, cible les utilisateurs d’Android aux États-Unis et en Europe

Les utilisateurs d’Android dans au moins cinq pays ont été ciblés par le cheval de Troie bancaire Anatsa via des droppers malveillants téléchargés sur Google Play, rapporte la société de détection des menaces ThreatFabric.
Les droppers identifiés, qui ont été installés plus de 30 000 fois via le magasin d’applications, ont été conçus pour demander à une page GitHub d’extraire une URL permettant de télécharger la charge utile finale, également à partir de GitHub.
Le premier dropper a été découvert en mars 2023, sous la forme d’une application de lecture de PDF, le cheval de Troie se présentant comme un addon pour cette application.
Google a supprimé l’application malveillante peu de temps après en avoir été informé, mais un deuxième dropper, se faisant également passer pour un lecteur PDF et utilisant la même chaîne d’infection, est apparu un mois plus tard.
Après la suppression de cette application malveillante, un autre dropper (également lecteur de PDF) est apparu un mois plus tard, et deux autres (tous deux lecteurs de documents) ont été identifiés en mai et en juin. En fait, ThreatFabric indique que l’application la plus récente peut encore être téléchargée sur Google Play.
Selon l’entreprise de sécurité, chacun des droppers identifiés a reçu une mise à jour à un moment donné, probablement pour y ajouter des fonctionnalités malveillantes.
« Notre analyse révèle également que les acteurs peuvent avoir plusieurs applications publiées dans le magasin en même temps sous différents comptes de développeurs, mais qu’une seule agit comme une application malveillante, tandis que l’autre est une sauvegarde à utiliser après le démantèlement », note ThreatFabric.Advertisement.

La campagne en cours vise des banques américaines, britanniques, allemandes, autrichiennes et suisses, mais la liste des cibles du cheval de Troie Anatsa contient plus de 600 applications bancaires mobiles dans le monde entier.
Les utilisateurs ont été attirés vers les applications malveillantes par des publicités les dirigeant vers Google Play, ce qui a probablement créé un faux sentiment de sécurité.
À l’aide de superpositions, le logiciel malveillant peut voler des informations sensibles telles que des identifiants, des données de cartes de crédit, des informations de solde et de paiement, que les acteurs de la menace utilisent ensuite pour initier des transactions frauduleuses, via la fraude par prise de contrôle de l’appareil (DTO).

« Comme les transactions sont lancées à partir de l’appareil que les clients des banques ciblées utilisent régulièrement, il a été signalé qu’il est très difficile pour les systèmes anti-fraude des banques de les détecter », note ThreatFabic.

La société de sécurité, qui surveille Anatsa depuis 2020, a également découvert que les itérations du trojan utilisées dans cette campagne peuvent cibler plus de 90 nouvelles applications bancaires mobiles de Finlande, d’Allemagne, de Singapour, d’Espagne et de Corée du Sud.