La résurgence du cheval de Troie bancaire Anatsa a suscité des inquiétudes parmi les experts en cybersécurité, car il cible les institutions financières européennes et constitue une menace importante pour la sécurité des services bancaires mobiles. Au cours des quatre derniers mois, la campagne Anatsa a connu une évolution dynamique, avec cinq vagues distinctes ciblant des régions spécifiques, notamment la Slovaquie, la Slovénie et la Tchéquie, en plus des cibles précédentes comme le Royaume-Uni, l’Allemagne et l’Espagne.
La société de détection de fraude ThreatFabric a détecté une résurgence du cheval de Troie bancaire Anatsa en novembre 2023.
La dernière itération de la campagne Anatsa, détectée par ThreatFabric, démontre un modus operandi sophistiqué. Il a utilisé plusieurs tactiques pour infiltrer les appareils mobiles et exécuter des activités malveillantes. Malgré des mécanismes de détection et de protection améliorés sur Google Play, les compte-gouttes Anatsa ont réussi à exploiter AccessibilityService. Cela leur a permis d’automatiser l’installation des charges utiles.
Un aspect notable de la récente campagne Anatsa est l’utilisation d’un code spécifique au fabricant ciblant les appareils Samsung. Cette approche sur mesure suggère une adaptation stratégique de la part des acteurs de la menace pour maximiser l’impact de leurs logiciels malveillants. Bien que la campagne ait eu un impact direct sur les utilisateurs de Samsung au cours de cette phase, la menace de tactiques similaires ciblant d’autres fabricants d’appareils reste préoccupante.
La campagne Anatsa a efficacement contourné les restrictions AccessibilityService imposées par Android 13
De plus, la campagne Anatsa a efficacement contourné les restrictions imposées par Android 13, permettant aux droppers d’installer des charges utiles tout en échappant à la détection. Cette technique, associée à des fichiers DEX chargés dynamiquement, améliore les capacités furtives du malware. Cela pose des défis aux moteurs de sécurité et augmente le risque d’infections réussies.
Le risque de piratage d’appareil par un programme malveillant constitue une menace sérieuse, chaque installation augmentant le risque d’activité frauduleuse et d’accès non autorisé à des informations sensibles.
Beeping Computer a repéré cinq applications liées à la campagne Anatsa. Ceux-ci incluent Phone Cleaner – Explorateur de fichiers (com.volabs.androidcleaner), PDF Viewer – Explorateur de fichiers (com.xolab.fileexplorer), PDF Reader – Visionneuse et éditeur (com.jumbodub.fileexplorerpdfviewer), Phone Cleaner : Explorateur de fichiers (com. appiclouds.phonecleaner) et PDF Reader : gestionnaire de fichiers (com.tragisoap.fileandpdfmanager).
Google a répondu au sujet
Un porte-parole de Google a informé BeepingComputer que Google Play avait supprimé les cinq applications associées à cette campagne. Il a ajouté que Google Play Protect protège déjà les appareils Android contre les versions connues de ce malware. Ceci est activé par défaut sur les appareils Android dotés des services Google Play.
