Anatsa

¿Qué es?

Anatsa, también conocido como ReBot, TeaBot y Toddler, es un malware de tipo troyano bancario que se enfoca en infectar dispositivos Android para obtener su control total, robar credenciales bancarias y realizar transacciones fraudulentas en nombre de las víctimas. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

Roba de credenciales bancarias mediante superposición de pantallas falsas sobre aplicaciones legítimas.
Intercepta las comunicaciones entre el usuario y las aplicaciones bancarias legítimas, mediante ataques de tipo Man-in-the-Middle (MitM), para permitir a los atacantes modificar transacciones, redirigir fondos o alterar balances sin que los usuarios lo perciban.
Registra pulsaciones de teclas (keylogging) para capturar información sensible.
Realiza capturas de pantalla y grabación de la actividad de los usuarios.
Accede remotamente a los sistemas y permite el control remoto a los atacantes.
Emplea técnicas avanzadas para evitar ser detectado por soluciones de seguridad, como la corrupción intencionada de los encabezados ZIP de los archivos APK y la verificación del entorno para detectar emuladores o entornos de análisis.
Abusa del servicio de accesibilidad de Android para automatizar acciones sin el consentimiento de los usuarios.
Descarga y ejecuta cargas maliciosas adicionales desde servidores de mando y control (C2).

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Android.

¿Cómo me infecta?

Este malware infecta a los dispositivos, principalmente, a través de aplicaciones maliciosas disfrazadas de herramientas legítimas en la Google Play Store, a través de la descarga de adjuntos en correos de phishing y a través de archivos descargados desde sitios web maliciosos.