Siber güvenlik araştırmacıları, Google’ın resmi uygulama pazarında yayınlanan kötü amaçlı uygulamaları kullanarak Kuzey Amerika’daki kullanıcıları hedeflemek için Anatsa adlı bir Truva atından yararlanan bir Android bankacılık kötü amaçlı yazılım kampanyası keşfettiler.
Bir belge görüntüleyici uygulamasına “PDF güncellemesi” olarak gizlenen kötü amaçlı yazılım, kullanıcılar bankacılık uygulamalarına erişmeye çalıştığında, hizmetin planlanan bakımın bir parçası olarak geçici olarak askıya alındığını iddia ederek aldatıcı bir yer paylaşımı sunarken yakalandı.
Hollandalı mobil güvenlik şirketi Tehdit Fabric, “Bu, en azından ANATSA’nın faaliyetlerini Amerika Birleşik Devletleri ve Kanada’daki mobil bankacılık müşterilerine odakladığını işaret ediyor.” Dedi. “Önceki kampanyalarda olduğu gibi, Anatsa resmi Google Play Store üzerinden dağıtılıyor.”
Teabot ve yürümeye başlayan çocuk olarak da adlandırılan Anatsa, en az 2020’den beri aktif olduğu bilinmektedir, tipik olarak Dropper uygulamaları aracılığıyla kurbanlara teslim edilir.
Geçen yılın başlarında, Anatsa’nın Slovakya, Slovenya ve Çeka’daki Android cihaz kullanıcılarını önce PDF okuyucuları ve telefon temizleyicileri olarak maskelenen benign uygulamaları Play Store’a yükleyerek ve daha sonra piyasaya sürüldükten bir hafta sonra kötü amaçlı kod tanıttığı bulundu.
Diğer Android Bankacılık Truva atları gibi, Anatsa da operatörlerine bindirme ve anahtarlama saldırıları yoluyla kimlik bilgilerini çalmak için tasarlanmış özellikler sağlayabilir ve kurbanın cihazlarından hileli işlemleri başlatmak için cihaz gezisi sahtekarlığı (DTO) gerçekleştirebilir.
TehditFabric, Anatsa kampanyalarının, uygulama mağazasında bir geliştirici profili oluşturmayı ve daha sonra reklamı yapılan olarak çalışan meşru bir uygulama yayınlamayı içeren öngörülebilir ancak iyi yağlanmış bir süreç izlediğini söyledi.
Şirket, “Uygulama önemli bir kullanıcı tabanı kazandıktan sonra – genellikle binlerce veya on binlerce indirmede – uygulamaya kötü amaçlı kod yerleştiren bir güncelleme dağıtılır.” Dedi. “Bu gömülü kod, ANATSA’yı ayrı bir uygulama olarak indirir ve yükler.”
Kötü amaçlı yazılım, harici bir sunucudan hedeflenen finansal ve bankacılık kurumlarının dinamik bir listesini alır ve saldırganların DTO kullanarak hesap devralma, keyloglama veya tam otomatik işlemler için kimlik bilgisi hırsızlığı gerçekleştirmesini sağlar.
Anatsa’nın algılamadan kaçmasına ve yüksek bir başarı oranını korumasına izin veren önemli bir faktör, saldırıların aktivite olmayan dönemlerle serpiştirildiği döngüsel doğasıdır.
Kuzey Amerika izleyicilerini bir belge görüntüleyici olarak (APK paket adı: “com.stellarastra.mainainer.astracontrol_managerreadercleaner”) hedefleyen yeni keşfedilen uygulama ve “Hibrid Cars Simulator, Drift & Racing” adlı bir geliştirici tarafından yayınlanmaktadır. Hem uygulama hem de ilişkili geliştirici hesabına artık Play Store’da erişilemiyor.
Sensor Tower’dan gelen istatistikler, uygulamanın ilk olarak 7 Mayıs 2025’te yayınlandığını ve 29 Haziran 2025’teki “En İyi Ücretsiz Araçlar” kategorisinde dördüncü noktaya ulaştığını gösteriyor. Yaklaşık 90.000 kez indirildiği tahmin ediliyor.
Tehdit Fabric, “Bu damlalık Anatsa’nın kurulmuş Modus Operandi’yi izledi: başlangıçta meşru bir uygulama olarak başlatıldı, piyasaya sürüldükten yaklaşık altı hafta sonra kötü niyetli bir uygulama haline getirildi.” Dedi. Diyerek şöyle devam etti: “Bu kampanya için dağıtım penceresi 24-30 Haziran tarihleri arasında kısa ama etkili oldu.”
ANATSA varyantı, şirkete göre, kötü amaçlı yazılımların bölgedeki finansal varlıklardan yararlanmaya odaklanmasını yansıtan Amerika Birleşik Devletleri’ndeki daha geniş bir bankacılık uygulamalarını hedefleyecek şekilde yapılandırılmıştır.
Kötü amaçlı yazılımlara dahil edilen bir diğer akıllı özellik, hedef bankacılık başvurusuna erişmeye çalışırken sahte bir bakım bildirimi gösterme yeteneğidir. Bu taktik sadece uygulama içinde meydana gelen kötü niyetli faaliyetleri gizlemekle kalmaz, aynı zamanda müşterilerin banka destek ekibiyle iletişim kurmasını da önler, böylece finansal sahtekarlığın tespit edilmesini geciktirir.
Tehdit Fabric, “En son operasyon sadece erişimini genişletmekle kalmadı, aynı zamanda bölgedeki finans kurumlarına yönelik iyi kurulmuş taktiklere de dayanıyordu.” Dedi. “Finans sektöründeki kuruluşlar, sağlanan istihbaratı gözden geçirmeye ve müşterileri ve sistemleri üzerindeki potansiyel riskleri veya etkileri değerlendirmeye teşvik edilmektedir.”