Nel panorama della sicurezza informatica mobile, il sistema operativo Android continua a essere uno degli obiettivi preferiti dei cybercriminali moderni.
Sono tanti, infatti, i trojan bancari sempre più sofisticati e difficili da rilevare. Tra questi, spicca nuovamente il trojan Anatsa, noto anche come TeaBot, che negli ultimi anni ha evoluto le proprie capacità per compromettere i dispositivi e svuotare i conti correnti degli utenti.
Recenti rilevazioni hanno confermato la sua diffusione tramite un’applicazione apparentemente innocua scaricabile dal Google Play Store, mettendo in evidenza ancora una volta le vulnerabilità presenti anche negli store ufficiali.
Android sotto attacco: il trojan Anatsa che svuota i conti, come riconoscerlo. Attenzione
Il team di ricerca di Zscaler ThreatLabz ha individuato un’app per Android, denominata Document Reader – File Manager e sviluppata da ISTOQMAH, che fungeva da veicolo per la diffusione del trojan Anatsa. Nonostante l’app fosse presentata come uno strumento multifunzione per la gestione e lettura di file PDF, oltre che per la scansione di documenti, è riuscita a superare i controlli di sicurezza iniziali del Play Store, raggiungendo oltre 50.000 installazioni prima di essere rimossa.
Questo episodio sottolinea le difficoltà che anche i grandi store digitali incontrano nel prevenire la distribuzione di software malevoli, con app che si mascherano dietro funzioni utili e un’interfaccia accattivante.
Il trojan, una volta installato, scarica silenziosamente il payload da un server remoto, camuffandolo da semplice aggiornamento, e se la sicurezza del dispositivo non interviene, continua a operare senza destare sospetti, mostrando un’interfaccia di file manager che serve solo a mantenere la maschera.
Anatsa è noto dal 2020 come uno dei trojan bancari più pericolosi per Android, inizialmente progettato per sottrarre credenziali di accesso attraverso il keylogging, ossia intercettando le digitazioni degli utenti. Nel tempo, però, ha ampliato il proprio raggio d’azione, integrando funzionalità per compiere transazioni fraudolente e attacchi mirati alle applicazioni finanziarie installate sul dispositivo.
Le versioni più recenti del trojan adottano tecniche avanzate di evasione dai sistemi di rilevamento, risultando particolarmente resilienti agli strumenti di sicurezza tradizionali. Anatsa sfrutta le autorizzazioni di accessibilità per acquisire privilegi critici come SYSTEM_ALERT_WINDOW e READ_SMS, che gli permettono di sovrapporre schermate di phishing alle app bancarie reali, intercettando così dati sensibili come credenziali di accesso e codici di autenticazione a due fattori.
Questa capacità di replicare in modo preciso le interfacce delle app finanziarie rende l’attacco particolarmente insidioso, poiché molte vittime non si accorgono della frode fino a quando non è troppo tardi.