anatsa - RunkIntel

# Anatsa > Tipo: **Android banking trojan** · 831+ bancos alvos · [Cleafy](https://www.cleafy.com) · [ThreatFabric](https://www.threatfabric.com) · [Zscaler ThreatLabz](https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa) > [!danger] 831 Bancos, 5 Ondas de Ataque, Google Play Infiltrado Repetidamente > O Anatsa (TeaBot) e o Android banking trojan com o maior escopo de alvos financeiros documentado: 831 aplicativos bancarios, fintech e de criptomoeda ao redor do mundo. Com cinco ondas de ataque distintas desde 2021 e infiltracoes repetidas no Google Play, o Anatsa tornou-se o mais persistente dos trojans Android bancarios ativos - sempre evoluindo técnicas de evasão para contornar protecoes do Play Store e do Android 13. ## Visão Geral [[anatsa|Anatsa]] (também denominado **TeaBot**, **Toddler** e **ReBot**) e um Android banking trojan descoberto pela Cleafy em marco de 2021. Diferente de outros trojans que focam em um grupo de bancos específico, o Anatsa expandiu continuamente sua lista de alvos - de 60 bancos em 2021 para **831 instituicoes financeiras** em 2023-2025, um crescimento de mais de 500%. O Anatsa combina: - Técnica de dropper "limpo" no Google Play (app parece inofensivo; update posterior entrega payload) - Streaming de tela em tempo real via Accessibility Services - Fraude "On-Device" (ODF): transações fraudulentas iniciadas diretamente no dispositivo da vitima - Alcance global crescente: Europa (Espanha, Alemanha, Italia, Belgica, Holanda), EUA, UK, Eslovaquia, Slovenia, Chequia, Coreia do Sul, Alemanha **Cinco ondas de ataque documentadas (ThreatFabric 2023-2024):** 1. **Onda 1**: Reino Unido, EUA 2. **Onda 2**: Alemanha, Austria, Suica (DACH) 3. **Onda 3**: Espanha, Eslovaquia, Eslovenia 4. **Onda 4**: Chequia, expansao DACH 5. **Onda 5**: Global, 831 bancos, Coreia do Sul e Alemanha adicionados **Caracteristicas técnicas distintas:** - Dropper inicialmente limpo, sem payload - supera revisao do Play Store - Updaté 1 semana após públicacao entrega payload malicioso via C2 - Bypass do **Android 13 restricted settings** para Accessibility Service - DEX payload em arquivo JSON (dinâmicamente carregado e deletado em memoria) - Payload cifrado com DES em runtime com chave específica por dispositivo - Dados exfiltrados a cada **10 segundos** - ritmo agressivo - Streaming de tela on-demand para operador (ODF) - Modelos de overlay específicos para cada instituicao financeira ## Como Funciona ### Técnica do Dropper Duplo-Estagio A técnica mais sofisticada do Anatsa para contornar o Google Play: **Estagio 1 - Dropper aparentemente legitimo:** - App públicado com funcionalidade real (leitor de PDF, scanner QR, leitor de documentos) - Sem código malicioso - passa pela revisao do Play Store - Aguarda 1 semana ou mais para ganhar base de usuarios e reviews positivos - Em alguns casos, alcanca Top-3 em "Aplicativos Gratuitos Novos" no Play Store da regiao alvo **Estagio 2 - Updaté malicioso:** - Após acumular instalacoes, operadores enviam update ao app - Updaté pede "add-on" ou download de arquivo adicional hospedado no GitHub - Usuario precisa permitir instalacao de fontes desconhecidas - uma tela de "update" falsa convence - Payload Anatsa instalado como segundo app ou carregado dinâmicamente em memoria **Evasão do Android 13:** - Android 13 restringe uso de Accessibility Service por apps instalados fora do Play Store - Anatsa públicou dropper afirmando precisar da permissao para "hibernar apps que drenam bateria" - contornou a restricao - Uma semana após públicacao, update ativou as acoes maliciosas via Accessibility ### Overlay e Fraude On-Device O Anatsa usa dois modos combinados para captura de credenciais: **Modo 1 - Overlay attack:** - Monitora apps bancarios ativos - Baixa pagina de login falsa específica para aquela instituicao do C2 - Exibe overlay sobre o app real - vitima nao percebe diferenca - Dados submetidos vao ao C2, nao ao banco **Modo 2 - Live streaming + ODF:** - Operador se conecta ao dispositivo comprometido - Streaming de tela em tempo real via Accessibility - Operador executa a transferencia fraudulenta diretamente - On-Device Fraud - Modo alternativo mais trabalhoso mas eficaz para contas de alto valor **Coleta continua:** Anatsa exfiltra dados a cada 10 segundos para o C2, incluindo conteudo de tela, credenciais capturadas e códigos 2FA interceptados. ### Escopo de 831 Alvos Os 831 alvos incluem: - Bancos de varejo (Américas, Europa, Asia-Pacifico) - Apps de fintech e pagamento digital - Wallets e exchanges de criptomoeda - Apps de seguros - Apps de gestao de investimentos Para cada alvo, o Anatsa mantem um inject (tela de overlay) específico. A Zscaler notou que em 2023 muitos injects para novos alvos estavam incompletos ou indisponiveis - indicando lista "work in progress" com expansao continua. ## Attack Flow ```mermaid graph TB A["Dropper no Play Store App legitimo (PDF, QR, docs) Sem código malicioso inicial"] --> B["Acumula Instalacoes Top-3 na regiao alvo Reviews positivos organicos"] B --> C["Updaté Malicioso 1 semana após publicacao Payload via GitHub ou C2"] C --> D["Accessibility Solicitada Pretexto falso de funcionalidade Bypass Android 13"] D --> E["Overlay por Banco Inject específico baixado Credenciais capturadas"] E --> F["SMS 2FA Interceptado Códigos OTP roubados 10s de ritmo de exfiltração"] F --> G["ODF ou Overlay Operador acessa ao vivo ou transferencia automatizada"] G --> H["Fraude Consumada Conta comprometida Vitima ve manutenção falsa"] classDef dropper fill:#e74c3c,stroke:#c0392b,color:#fff classDef grow fill:#e67e22,stroke:#d35400,color:#fff classDef update fill:#f39c12,stroke:#d68910,color:#fff classDef access fill:#8e44ad,stroke:#7d3c98,color:#fff classDef collect fill:#3498db,stroke:#2980b9,color:#fff classDef bypass fill:#27ae60,stroke:#229954,color:#fff classDef fraud fill:#2c3e50,stroke:#1a252f,color:#fff class A dropper class B grow class C update class D access class E,F collect class G bypass class H fraud ``` ## Linha do Tempo ```mermaid timeline title Cinco Ondas do Anatsa 2021 Mar : Cleafy detecta Anatsa (TeaBot) : Espanha, Alemanha, Italia, Belgica, Holanda : 60 bancos como alvos iniciais 2021 Nov : 6 droppers no Play Store (ThreatFabric) : 300.000 downloads na campanha 2022 Mar : QR Code Reader no Play Store : 100.000+ downloads : Expansao para 400 bancos 2023 Jun : Nova campanha - Onda 1 e 2 : UK, EUA, DACH (30.000 instalacoes) 2023 Nov : Ondas 3-5 iniciadas : Slovakia, Slovenia, Czechia : 5 droppers, 100.000+ instalacoes 2024 : 831 bancos alvos : Coreia do Sul e Alemanha adicionados : Bypass Android 13 documentado ``` | Período | Evento | |---------|--------| | Mar/2021 | Cleafy pública primeiro relatorio sobre TeaBot/Anatsa | | Nov/2021 | ThreatFabric: 6 droppers no Play Store desde junho | | Mar/2022 | QR Code Reader com 100.000+ downloads no Play Store | | Jun/2023 | ThreatFabric: nova campanha Onda 1-2 (UK, EUA, DACH) - 30.000 instalacoes | | Nov/2023 | ThreatFabric: Ondas 3-5, Slovakia, Slovenia, Czechia - 100.000+ instalacoes | | 2023-2025 | Zscaler: 831 bancos alvos; 77 apps maliciosos com 19M instalacoes no Play | ## TTPs Mapeados (MITRE ATT&CK Mobile) | Tática | Técnica | Uso pelo Anatsa | |--------|---------|----------------| | Initial Access | [[t1476-deliver-malicious-app\|T1476]] | APKs via Google Play (droppers limpos), GitHub, smishing | | Initial Access | [[t1444-masquerade-as-legitimate-application\|T1444]] | PDF readers, QR scanners, leitores de documentos como dropper | | Defense Evasion | [[t1406-obfuscated-files\|T1406]] | DEX em JSON, cifrado DES runtime, APK ZIP obfuscator | | Collection | [[t1513-screen-capture\|T1513]] | Live streaming via Accessibility para ODF por operador | | Collection | [[t1412-capture-sms\|T1412]] | Intercepta SMS bancarios (OTPs e códigos 2FA) | | Credential Access | [[t1417-input-capture\|T1417]] | Keylogging de credenciais bancarias; Google Authenticator 2FA capturado | | Command and Control | [[t1436-commonly-used-ports\|T1436]] | C2 com polling a cada 10 segundos; injects baixados por banco | | Impact | [[t1516-input-injection\|T1516]] | ODF: operador executa transferencias fraudulentas diretamente no dispositivo | ## Relevância LATAM/Brasil > [!warning] Banco Brasileiro na Lista dos 831? > A Zscaler reportou em 2025 que o Anatsa expandiu para 831 instituicoes incluindo novas regioes como Coreia do Sul e Alemanha. Analistas brasileiros devem verificar periodicamente se aplicativos de bancos brasileiros foram adicionados a lista de injects do Anatsa - a tendencia de expansao continua torna isso cada vez mais provavel. O modelo de dropper limpo + update malicioso e dificil de detectar sem solução MTD. > [!tip] Google Play como Vetor - Lição para Politicas Mobile Corporativas > O Anatsa infiltrou o Google Play múltiplas vezes entre 2021-2025, incluindo apps que atingiram o Top-3 na categoria "Novos Gratuitos". Isso inválida politicas que assumem que "Google Play e seguro". Organizacoes precisam de Mobile Threat Defense (MTD) que analisa comportamento após instalacao, nao apenas reputacao da fonte. **Setores impactados:** - [[financial|Financeiro]] - 831 bancos e apps fintech em Américas, Europa e Asia-Pacifico - Servicos de criptomoeda - wallets e exchanges incluidas ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **Delay Updaté Pattern:** App recentemente instalado que recebe update 5-10 dias após instalacao solicitando permissao para instalar de fontes externas - padrao clássico Anatsa > - **GitHub Payload Fetch:** App que faz GET request ao GitHub para baixar arquivo DEX ou APK após instalacao - IOC critico > - **10-Second C2 Polling:** Processo Android que faz request HTTP a cada 10 segundos para C2 - cadencia de exfiltração do Anatsa > - **DES Decryption at Runtime:** Rotina de decifrado DES em runtime com chave específica por dispositivo em app financeiro > - **Overlay on Banking Apps:** App sem funcionalidade financeira exibindo webview sobre apps bancarios - overlay attack **Controles recomendados:** - Nunca instalar apps adicionais de dentro de outros apps instalados - vetor clássico Anatsa - Implementar Mobile Threat Defense (MTD) em todos os dispositivos corporativos - Ativar Google Play Protect e monitorar alertas de comportamento suspeito - Revisar permissoes de Accessibility Service periodicamente - [[m1017-user-training|M1017]] - treinar sobre atualizacoes de apps pedindo permissoes de instalacao ## Referências - [1](https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa) Zscaler ThreatLabz - Android Document Readers and Deception: Tracking Anatsa (2025) - [2](https://www.securityweek.com/anatsa-android-banking-trojan-continues-to-spread-via-google-play/) SecurityWeek - Anatsa Android Banking Trojan Continues to Spread via Google Play (2024) - [3](https://securityaffairs.com/159344/malware/anatsa-banking-trojan-resurgence.html) Security Affairs - Anatsa Android banking Trojan expands to new countries (2024) - [4](https://thehackernews.com/2022/03/teabot-android-banking-malware-spreads.html) The Hacker News - TeaBot Android Banking Malware Spreads Again (2022) - [5](https://www.bleepingcomputer.com/news/security/android-malware-anatsa-infiltrates-google-play-to-target-us-banks/) BleepingComputer - Android malware Anatsa infiltrates Google Play to target US banks (2025)