Estudios de análisis de amenazas: Anatsa

Fecha de publicación 05/07/2021
Autor
INCIBE (INCIBE)
imagen de estudios de amenazas

Siguiendo con nuestra serie de estudios de análisis de amenazas o campañas de distribución de malware con afectación en España iniciada en abril, hoy publicamos un nuevo estudio sobre Anatsa, una amenaza que ha cobrado especial relevancia en la actualidad, desde su descubrimiento en enero de 2021.

En el estudio se proporciona información pormenorizada y detallada del modus operandi y el funcionamiento de esta campaña que afectan a una amplia variedad de empresas, ciudadanos y organismos nacionales para que, una vez conocidos los detalles más técnicos y sus características, los técnicos en seguridad puedan implementar en las organizaciones las medidas de prevención, detección y respuesta más adecuadas.

Anatsa es un troyano bancario diseñado para dispositivos Android que hace uso de funciones muy similares a las de otros troyanos bancarios existentes, como Cerberus, Anubis o Flubot, con el que puede estar directamente relacionado.

Esta amenaza parece tener un alcance más amplio y, no conformándose solamente con el ámbito español, ha buscado desde un primer momento tener impacto en otros países de la Unión Europea.

En cuanto a la funcionalidad del código dañino, una vez el usuario instala la aplicación en su dispositivo, ésta comienza a rastrear los identificadores de todas las aplicaciones que vaya iniciando y cuando detecta un inicio de sesión en una de las aplicaciones objetivo, crea páginas superpuestas para, mediante ingeniería social, capturar la información introducida por el usuario.

A lo largo del estudio se realiza un detallado análisis técnico de la amenaza a través de la muestra del código dañino en cuestión para mostrar cómo es el comportamiento de este malware y las posibilidades que ofrece.

En este análisis también se incluye una regla IOC y otra Yara para ayudar en la detección de muestras pertenecientes a la familia Anatsa.

El estudio completo se puede descargar a continuación: