Cybersecurity -onderzoekers hebben een Android Banking -malware -campagne ontdekt die een Trojan met de naam Anatsa heeft gebruikt om gebruikers in Noord -Amerika te richten met behulp van kwaadaardige apps die zijn gepubliceerd op de officiële app -markt van Google.
De malware, vermomd als een “PDF -update” voor een Document Viewer -app, is betrapt op het bedienen van een misleidende overlay wanneer gebruikers proberen toegang te krijgen tot hun bankaanvraag, en beweren dat de service tijdelijk is opgeschort als onderdeel van gepland onderhoud.
“Dit markeert ten minste het derde exemplaar van Anatsa die zijn activiteiten richt op mobiele bankklanten in de Verenigde Staten en Canada,” zei Dutch Mobile Security Company Threatfabric in een rapport dat wordt gedeeld met het Hacker News. “Net als bij eerdere campagnes wordt Anatsa gedistribueerd via de officiële Google Play Store.”
Anatsa, ook wel TEOBOT en TODDLER genoemd, is bekend dat het sinds minstens 2020 actief is, meestal aan slachtoffers geleverd via druppel -apps.
Begin vorig jaar bleek Anatsa te richten op Android -apparaatgebruikers in Slowakije, Slovenië en Tsjechië door eerst goedaardige apps te uploaden die zich voordoen als PDF -lezers en telefoonreinigers naar de speelwinkel en vervolgens een week na release te introduceren.
Net als andere Android Banking Trojans, is Anatsa in staat om zijn operators functies te bieden die zijn ontworpen om referenties te stelen door overlay- en keylogging-aanvallen, en apparaat-takeover fraude (DTO) uit te voeren om frauduleuze transacties van de apparaten van het slachtoffer te initiëren.
ThreatFabric zei dat Anatsa-campagnes een voorspelbaar, maar geoliede proces volgen waarbij een ontwikkelaarsprofiel in de App Store wordt opgezet en vervolgens een legitieme app publiceert die werkt zoals geadverteerd.
“Zodra de applicatie een substantieel gebruikersbestand krijgt – vaak in de duizenden of tienduizenden downloads – wordt een update geïmplementeerd, die kwaadaardige code in de app inbedden,” zei het bedrijf. “Deze ingesloten code downloadt en installeert Anatsa op het apparaat als een afzonderlijke applicatie.”
De malware ontvangt vervolgens een dynamische lijst van gerichte financiële en bankinstellingen van een externe server, waardoor de aanvallers in staat zijn om diefstal van de rekening uit te voeren voor accountovername, keylogging of volledig geautomatiseerde transacties met behulp van DTO.
Een cruciale factor waarmee anatsa detectie kan ontwijken en een hoog slagingspercentage behoudt, is de cyclische aard waarbij de aanvallen worden afgewisseld door periodes van geen activiteit.
De nieuw ontdekte app die zich richt op Noord -Amerikaanse publiek, masquerades als documentviewer (APK -pakketnaam: “Com.Stellarastra.Maintainer.AstraControl_ManAgreReaderCleaner”) en wordt gepubliceerd door een ontwikkelaar genaamd “Hybrid Cars Simulator, Drift & Racing.” Zowel de app als het bijbehorende ontwikkelaarsaccount zijn niet langer toegankelijk in de Play Store.
Statistieken van Sensor Tower laten zien dat de app voor het eerst werd gepubliceerd op 7 mei 2025 en de vierde plek bereikte in de categorie “Top Free – Tools” op 29 juni 2025. Naar schatting is ongeveer 90.000 keer gedownload.
“Deze dropper volgde de gevestigde modus operandi van Anatsa: aanvankelijk gelanceerd als een legitieme app, werd hij omgezet in een kwaadwillende ongeveer zes weken na release,” zei Threatfabric. “Het distributiefenter voor deze campagne was kort en toch impactvol, van 24 tot 30 juni.”
De Anatsa -variant, volgens het bedrijf, is ook geconfigureerd om zich te richten op een bredere set bank -apps in de Verenigde Staten, een weerspiegeling van de toenemende focus van de malware op het exploiteren van financiële entiteiten in de regio.
Een andere slimme functie die in de malware is opgenomen, is de mogelijkheid om een nep -onderhoudsbericht weer te geven bij het proberen toegang te krijgen tot de toepassing van de doelbanking. Deze tactiek verbergt niet alleen de kwaadaardige activiteit die zich binnen de app voordoet, maar voorkomt ook dat klanten contact opnemen met het ondersteuningsteam van de bank, waardoor de detectie van financiële fraude wordt vertraagd.
“De laatste operatie verbreedde niet alleen zijn bereik, maar vertrouwde ook op gevestigde tactieken gericht op financiële instellingen in de regio,” zei Threatfabric. “Organisaties in de financiële sector worden aangemoedigd om de verstrekte intelligentie te herzien en mogelijke risico’s of gevolgen voor hun klanten en systemen te beoordelen.”
