Los investigadores de seguridad cibernética han descubierto una campaña de malware bancaria Android que ha diligente un troyano llamado Anatsa para atacar a los usuarios en América del Septentrión utilizando aplicaciones maliciosas publicadas en el mercado oficial de aplicaciones de Google.
El malware, disfrazado de “aggiornamento de PDF” en una aplicación de visor de documentos, ha sido atrapado sirviendo una superposición engañosa cuando los usuarios intentan lograr a su aplicación bancaria, alegando que el servicio ha sido suspendido temporalmente como parte del mantenimiento programado.
“Esto marca al menos la tercera instancia de Anatsa centrando sus operaciones en clientes de banca móvil en los Estados Unidos y Canadá”, dijo la compañía de seguridad móvil holandesa Amenazfabric en un documentación compartido con Hacker News. “Al igual que con las campañas anteriores, Anatsa se está distribuyendo a través de la tienda oficial de Google Play”.
Se sabe que Anatsa, igualmente conocida como TeaBot y Impulsivo, está activo desde al menos 2020, generalmente entregado a las víctimas a través de aplicaciones de dosificador.
A principios del año pasado, se descubrió que Anatsa tenía el objetivo de los usuarios de dispositivos de Android en Eslovaquia, Eslovenia y Chechia al cargar por primera vez aplicaciones benignas disfrazadas de lectores de PDF y limpiadores de teléfonos a la tienda de juegos y luego introduciendo código bellaco una semana a posteriori del divulgación.
Al igual que otros troyanos de Android Banking, Anatsa es capaz de proporcionar a sus operadores características diseñadas para robar credenciales a través de ataques de superposición y keylogging, y realizar fraude de consumo de dispositivos (DTO) para iniciar transacciones fraudulentas de los dispositivos de las víctimas.
Amenazfabric dijo que las campañas de Anatsa siguen un proceso predecible, pero admisiblemente engranado, que implica establecer un perfil de desarrollador en la App Store y luego propagar una aplicación legítima que funcione como se anuncia.
“Una vez que la aplicación anhelo una pulvínulo de usuarios sustancial, a menudo en miles o decenas de miles de descargas, se implementa una aggiornamento, incrustando el código bellaco en la aplicación”, dijo la compañía. “Este código integrado descarga e instala Anatsa en el dispositivo como una aplicación separada”.
Luego, el malware recibe una cinta dinámica de instituciones financieras y bancarias específicas de un servidor foráneo, lo que permite a los atacantes realizar robos de credenciales para la adquisición de la cuenta, el keylogging o las transacciones totalmente automatizadas utilizando DTO.

Un hacedor crucial que permite a Anatsa eludir la detección y abastecer una inscripción tasa de éxito es su naturaleza cíclica, donde los ataques están intercalados por períodos sin actividad.
La aplicación recientemente descubierta dirigida al divulgado de América del Septentrión ejemplifica esta organización calculada de varias etapas para entregar el troyano bancario a posteriori de varias semanas a posteriori de que comenzó a atraer miles de descargas.
Se disfraza de una aplicación emplazamiento “Visor de documentos – Reader de archivos” (Nombre del paquete APK: “com.stellarastra.mataineer.astracontrol_managerreadercleaner”) y es publicado por un desarrollador llamado “Simulador de autos híbridos, deriva y carreras”. Tanto la aplicación como la cuenta de desarrollador asociada ya no son accesibles en Play Store.
Las estadísticas de Sensor Tower muestran que la aplicación se publicó por primera vez el 7 de mayo de 2025, alcanzando el cuarto ocupación en la categoría “Top Free -Tools” el 29 de junio de 2025. Se estima que se descargó en torno a de 90,000 veces.
“Este cuentagotas siguió al modus operandi establecido de Anatsa: inicialmente decidido como una aplicación legítima, se transformó en una maliciosa aproximadamente seis semanas a posteriori del divulgación”, dijo Amenazfabric. “La ventana de distribución para esta campaña fue breve pero impactante, de 24 al 30 de junio”.
La cambio Anatsa, según la compañía, igualmente está configurada para dirigir un conjunto más amplio de aplicaciones bancarias en los Estados Unidos, que refleja el creciente enfoque del malware en explotar entidades financieras en la región.
Otra característica inteligente incorporada en el malware es su capacidad para mostrar un aviso de mantenimiento fingido al intentar lograr a la aplicación bancaria de destino. Esta táctica no solo oculta la actividad maliciosa que ocurre adentro de la aplicación, sino que igualmente evita que los clientes se pongan en contacto con el equipo de apoyo del faja, retrasando así la detección de fraude financiero.
“La última operación no solo amplió su zona de influencia, sino que igualmente se basó en tácticas admisiblemente establecidas dirigidas a las instituciones financieras de la región”, dijo Amenazfabric. “Se alienta a las organizaciones en el sector financiero a revisar la inteligencia proporcionada y evaluar cualquier peligro o impacto potenciales en sus clientes y sistemas”.
Refrescar
A posteriori de la publicación de la historia, Google compartió la próximo información con Hacker News –
Todas estas aplicaciones maliciosas identificadas se han eliminado de Google Play. Los usuarios están protegidos automáticamente por Google Play Protect, que puede advertir a los usuarios o cercar aplicaciones que se sabe que exhiben un comportamiento bellaco en dispositivos Android con los servicios de Google Play.
(La historia se actualizó a posteriori de la publicación para incluir una respuesta de Google).