Troia bancário Anatsa ataca 90.000 usuários com aplicativo falso de PDF na Google Play Store

Pesquisadores de cibersegurança descobriram uma nova campanha de malware bancário para Android que utilizou o trojan Anatsa para mirar usuários na América do Norte, usando aplicativos maliciosos publicados na loja oficial de aplicativos do Google, a Google Play Store.

O malware, disfarçado de "Atualização de PDF" para um aplicativo de visualização de documentos, foi flagrado exibindo uma sobreposição enganosa quando os usuários tentam acessar seus aplicativos bancários. A mensagem falsa alegava que o serviço estava temporariamente suspenso como parte de uma manutenção programada, visando enganar as vítimas enquanto o malware agia.

"Esta é pelo menos a terceira instância em que o Anatsa concentra suas operações em clientes de bancos móveis nos Estados Unidos e Canadá", afirmou a empresa holandesa de segurança móvel ThreatFabric em um relatório. "Assim como em campanhas anteriores, o Anatsa está sendo distribuído através da Google Play Store oficial."

O Anatsa, também conhecido como TeaBot e Toddler, é conhecido por estar ativo desde pelo menos 2020, geralmente sendo entregue às vítimas por meio de aplicativos "dropper" (que baixam e instalam o malware).

No início do ano passado, o Anatsa foi detectado visando usuários de dispositivos Android na Eslováquia, Eslovênia e República Tcheca. A tática envolvia o upload inicial de aplicativos benignos, disfarçados de leitores de PDF e limpadores de telefone, para a Play Store, para então introduzir código malicioso cerca de uma semana após o lançamento.

Assim como outros trojans bancários para Android, o Anatsa é capaz de fornecer a seus hackers funcionalidades projetadas para roubar credenciais através de ataques de sobreposição (overlay) e registro de teclas (keylogging). Ele também pode realizar Fraude de Tomada de Controle de Dispositivo (DTO), permitindo que os operadores iniciem transações fraudulentas diretamente dos dispositivos das vítimas.

A ThreatFabric detalhou que as campanhas do Anatsa seguem um processo previsível, porém bem orquestrado. Primeiramente, os invasores estabelecem um perfil de desenvolvedor na loja de aplicativos e, em seguida, publicam um aplicativo legítimo que funciona conforme anunciado. "Uma vez que o aplicativo ganha uma base de usuários substancial – frequentemente milhares ou dezenas de milhares de downloads – uma atualização é implantada, incorporando código malicioso ao aplicativo", explicou a empresa. "Este código incorporado baixa e instala o Anatsa no dispositivo como um aplicativo separado."

Após a instalação, o malware recebe uma lista dinâmica de instituições financeiras e bancárias alvo de um servidor externo. Isso permite que os hackers realizem o roubo de credenciais para apropriação de contas, registro de teclas ou transações totalmente automatizadas usando DTO. Um fator crucial que permite ao Anatsa evadir a detecção e manter uma alta taxa de sucesso é sua natureza cíclica, onde os ataques são intercalados por períodos de inatividade, tornando mais difícil o rastreamento e a identificação de padrões.

O aplicativo recém-descoberto que visava públicos na América do Norte exemplifica essa estratégia calculada de múltiplos estágios para entregar o trojan bancário semanas após atrair milhares de downloads.

Ele se disfarçava de um aplicativo chamado "Document Viewer - File Reader" (nome do pacote APK: "com.stellarastra.maintainer.astracontrol_managerreadercleaner") e foi publicado por um desenvolvedor chamado "Hybrid Cars Simulator, Drift & Racing". Tanto o aplicativo quanto a conta de desenvolvedor associada não estão mais acessíveis na Play Store.

Estatísticas da Sensor Tower mostram que o aplicativo foi publicado pela primeira vez em 7 de maio de 2025, alcançando a quarta posição na categoria "Top Grátis - Ferramentas" em 29 de junho de 2025. Estima-se que tenha sido baixado cerca de 90.000 vezes.

"Este dropper seguiu o modus operandi estabelecido do Anatsa: inicialmente lançado como um aplicativo legítimo, ele foi transformado em um malicioso aproximadamente seis semanas após o lançamento", afirmou a ThreatFabric. "A janela de distribuição para esta campanha foi curta, mas impactante, funcionando de 24 a 30 de junho."

A variante do Anatsa, de acordo com a empresa, também foi configurada para atingir um conjunto mais amplo de aplicativos bancários nos Estados Unidos, refletindo o foco crescente do malware em explorar entidades financeiras na região.

Outra característica inteligente incorporada ao malware é sua capacidade de exibir um aviso de manutenção falso ao tentar acessar o aplicativo bancário alvo. Essa tática não apenas oculta a atividade maliciosa ocorrendo dentro do aplicativo, mas também impede que os clientes entrem em contato com a equipe de suporte do banco, atrasando assim a detecção de fraudes financeiras.

A ThreatFabric concluiu que "a operação mais recente não apenas ampliou seu alcance, mas também se baseou em táticas bem estabelecidas destinadas a instituições financeiras na região. As organizações do setor financeiro são incentivadas a revisar a inteligência fornecida e avaliar quaisquer riscos ou impactos potenciais em seus clientes e sistemas."

Atualização: Após a publicação da notícia, o Google compartilhou a seguinte declaração com o The Hacker News: "Todos esses aplicativos maliciosos identificados foram removidos do Google Play. Os usuários são protegidos automaticamente pelo Google Play Protect, que pode alertar os usuários ou bloquear aplicativos conhecidos por exibir comportamento malicioso em dispositivos Android com Google Play Services."

Via - THN