Pesquisadores identificaram uma nova campanha do trojan bancário Anatsa, que atingiu cerca de 90 mil usuários na América do Norte com um aplicativo malicioso publicado na Google Play Store. O malware estava disfarçado como um “atualizador de PDF” para um visualizador de documentos, mas exibia sobreposições falsas quando a vítima tentava acessar o app bancário, alegando que o serviço estava em manutenção. Esta é a terceira vez que o Anatsa foca em clientes de bancos nos EUA e Canadá.
Ativo desde 2020 e também conhecido como TeaBot ou Toddler, o trojan se propaga por meio de aplicativos dropper: apps inicialmente legítimos que, após conquistar milhares de downloads, recebem atualizações com códigos maliciosos. O app desta campanha, chamado “Document Viewer” (com o pacote APK “com.stellarastra.maintainer.astracontrol_managerreadercleaner”), foi publicado pelo desenvolvedor “Hybrid Cars Simulator, Drift & Racing” e alcançou o 4º lugar na categoria “Top Free – Tools” da Play Store no final de junho de 2025. Estima-se que tenha sido baixado 90 mil vezes entre maio e junho, antes de ser removido.
Após a atualização maliciosa, o Anatsa baixava e instalava uma versão do trojan no dispositivo. Este, então, recebia uma lista dinâmica de bancos-alvo a partir de um servidor remoto, permitindo roubo de credenciais via keylogging e sobreposições falsas, além de executar transações fraudulentas automatizadas (Device-Takeover Fraud – DTO). A campanha também empregava uma técnica para exibir uma falsa notificação de manutenção ao abrir apps bancários, evitando que usuários percebessem movimentações suspeitas ou buscassem suporte do banco, o que atrasava a detecção das fraudes. O ciclo intercalado de atividade e inatividade do Anatsa ajuda o malware a permanecer invisível por mais tempo, dificultando a reação das defesas tradicionais.
