Un dangereux malware bancaire se répand actuellement sur Android : Anatasa. Également connu sous le nom de TeaBot, il s’introduit sur l’appareil de ses victimes via le Google Play Store dans des applications à l’apparence légitime.
C’est un malware qui est particulièrement virulent actuellement : Anatsa. Nous écrivions déjà plus tôt en mai dans nos colonnes sur ce cheval de Troie qui se répand via le Play Store. Il se rapportait alors que le malware bancaire imitait des applications populaires comme Instagram ou WhatsApp pour tromper la vigilance de ses victimes.
Il semblerait que les acteurs de la menace font évoluer leurs méthodes. Les chercheurs de la société de cybersécurité Zscaler ont observé une augmentation significative des tentatives de diffusion d’Anatsa, toujours sous le couvert d’applications à l’apparence légitime. Ces logiciels Android sont disponibles librement sur le Google Play Store.
C’est quoi Anatsa, ce dangereux malware bancaire ?
Également connu sous le nom de TeaBot, Anatasa constitue l’échelon central d’une campagne de diffusion via de fausses applications. Parmi celles-ci, deux sont particulièrement populaires, puisqu’elles ont été téléchargées pas moins de 70 000 fois :
- Un lecteur de PDF, dont le nom n’a pas été précisé
- Un lecteur de code QR
Avec ce nombre d’installation important, c’est un effet boule de neige qui est provoqué. Convaincus de la fiabilité de ces applications par le nombre de téléchargement élevé, d’autres victimes sont attirées dans les mailles du filet.
À lire > Android : ce dangereux malware est capable de vider votre compte bancaire à distance
Anatsa utilise des charges utiles distantes récupérées à partir d’un serveur de commande pour réaliser certaines activités malveillantes. Dans le même temps, il récupère un fichier de configuration sur ce même serveur, pour se lancer dans l’opération principale :
- Après avoir reçu une liste de noms d’applications financières, Anatsa scanne l’appareil pour les trouver.
- Si une application cible est trouvée, Anatsa la communique au serveur.
- Le serveur fournit alors une fausse page de connexion pour une opération bancaire.
- Cette fausse page de connexion, affichée dans une fenêtre Web, incite les utilisateurs à saisir leurs coordonnées bancaires, qui sont ensuite transmises au serveur C&C.
C’est particulièrement inquiétant. Il faudra donc redoubler d’attention en téléchargeant des applications sur Android et en effectuant des paiements sur internet. Google affirme pourtant qu’Anatsa fait partie des malwares repoussés du Play Store en 2023. Visiblement, si certaines applications tentant d’introduire le malware sur le magasin n’ont pas réussi à être approuvées des services de Google, d’autres y parviennent.
- Le malware Anatsa se propage via le Google Play Store en se faisant passer pour des applications légitimes.
- Anatsa utilise de fausses pages de connexion pour dérober les informations bancaires des victimes
- Le malware continue de circuler sur le Play Store en 2024, via des applications de scans de code QR et de lecteur PDF.
