El troyano bancario Anatsa volvió a colarse en Google Play, esta vez disfrazado de un inocente visor de PDF que ya había sido descargado más de 50.000 veces.
Una vez que la app se instala, el malware se activa de inmediato y empieza a hacer su trabajo sucio: detecta cuándo abres una app bancaria, te muestra una pantalla falsa que imita la original y, sin que lo notes, puede robar tus credenciales, registrar lo que escribes e incluso realizar transacciones de forma automática. Todo esto, apuntando principalmente a usuarios en Norteamérica.
En su última campaña, el malware Anatsa está utilizando una táctica bastante engañosa para pasar desapercibido: cuando detecta que abres una app bancaria en tu dispositivo, muestra un mensaje falso informando de un supuesto “mantenimiento del sistema”.
Este aviso aparece justo encima de la interfaz de la app del banco, bloqueando la vista del usuario y ocultando la actividad maliciosa que ocurre en segundo plano. Mientras tanto, el malware sigue funcionando sin interrupciones: puede robar tus credenciales, acceder a tus cuentas o incluso iniciar transferencias sin que lo notes. Además, este truco también impide que muchos usuarios se comuniquen con su banco o revisen su saldo a tiempo para detectar movimientos sospechosos.
Esta no es la primera vez que Anatsa logra infiltrarse en Google Play. En campañas anteriores, se ha disfrazado de aplicaciones útiles como visores de documentos, lectores de PDF o apps de escaneo de códigos QR. En varias ocasiones, estas apps falsas han logrado decenas o incluso cientos de miles de descargas antes de ser eliminadas de la tienda.
En una de sus últimas apariciones, Anatsa se escondía detrás de una app llamada “Document Viewer – File Reader”, presentada como una herramienta legítima y publicada por un desarrollador aparentemente inofensivo. Sin embargo, tras instalarse, comenzaba a ejecutar su carga maliciosa en segundo plano. Junto con otras apps similares, estas campañas recientes han llegado a acumular más de 70.000 instalaciones en muy poco tiempo.
El patrón es claro: los atacantes se apoyan en nombres genéricos y funciones aparentemente útiles para que los usuarios bajen la guardia. Una vez instalada la app, el malware entra en acción sin levantar sospechas, y para entonces ya es demasiado tarde.
Aplicación en Google Play que entregó Anatsa a sus usuarios (Fuente: ThreatFabric)
Podría interesarte leer: Nuevo Ataque TapTrap engaña a los Usuarios de Android
Una de las tácticas más astutas detrás del malware bancario Anatsa es que no muestra su lado malicioso desde el principio. La app que lo contiene se lanza como si fuera totalmente legítima: sin comportamientos sospechosos, sin permisos raros, sin alertas. Todo parece normal.
¿La razón? Los atacantes detrás de Anatsa esperan a que la app gane tracción y consiga miles de descargas. Solo cuando ya tiene una base sólida de usuarios activos, lanzan una actualización que incluye el código malicioso, el cual descarga e instala el verdadero troyano desde un servidor remoto. Así es como Anatsa entra en acción sin levantar sospechas al principio.
Una vez activo en el dispositivo, el malware se conecta a su servidor de comando y control (C2), que le envía una lista de apps bancarias específicas para vigilar. Desde ese momento, puede interceptar datos, robar credenciales, y hasta automatizar operaciones bancarias sin que el usuario lo note.
En su campaña más reciente, Anatsa comenzó a infectar dispositivos entre el 24 y el 30 de junio, unas seis semanas después de que la app fue publicada en Google Play. Por suerte, Google ya eliminó la aplicación maliciosa, pero eso no significa que el riesgo haya desaparecido.
Si instalaste una app sospechosa recientemente (como un lector de PDF o una herramienta de productividad poco conocida) te recomendamos lo siguiente:
Desinstala la app de inmediato.
Ejecuta un análisis completo del dispositivo con Google Play Protect.
Cambia tus contraseñas, especialmente las de tus cuentas bancarias o cualquier app financiera.
Conoce más sobre: ¿Cómo mantener seguro tu celular aunque ya no reciba actualizaciones?
Anatsa ha demostrado que puede infiltrarse en Google Play una y otra vez, por lo que no basta con confiar en que las apps oficiales siempre son seguras. Aquí van algunos consejos clave para mantener tu dispositivo protegido:
Descarga solo apps de desarrolladores conocidos o verificados.
Revisa las reseñas de otros usuarios antes de instalar cualquier aplicación.
Presta atención a los permisos que solicita una app, especialmente si pide acceso a funciones que no necesita.
Mantén tu teléfono lo más limpio posible: menos apps, menos riesgo.
Un portavoz de Google comentó que todas las apps maliciosas identificadas han sido eliminadas de Google Play, y que los usuarios están protegidos automáticamente por Google Play Protect, que puede advertir o bloquear aplicaciones que muestran comportamientos peligrosos en dispositivos Android actualizados.