Etiquetas

El troyano bancario Anatsa se expande y México figura entre los países en riesgo





Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Se reporta que el troyano bancario Anatsa, también conocido como TeaBot, ha resurgido con fuerza a través de aplicaciones aparentemente legítimas disponibles en Google Play, poniendo en jaque a cientos de instituciones financieras a nivel mundial. Este malware, que inicialmente atacaba a unas 600 entidades, hoy tiene la capacidad de comprometer a más de 950 aplicaciones bancarias y financieras, incluyendo fintechs y plataformas de criptomonedas.

La estrategia de los ciberdelincuentes detrás de Anatsa ha sido particularmente efectiva: publican aplicaciones inofensivas — como lectores de documentos o escáneres de códigos QR — que, tras acumular miles de descargas, actúan como “droppers”. Esto significa que una vez instaladas en el dispositivo, descargan en segundo plano el código malicioso desde servidores controlados por los atacantes. En algunos casos, estas apps superaron las 66,000 instalaciones antes de que fueran eliminadas de la tienda oficial.

Anatsa destaca por su capacidad de infiltración y por el nivel de sofisticación que emplea para evadir la detección. Utiliza técnicas de cifrado, verificación de entornos de prueba y manipulación de archivos APK, además de solicitar permisos de accesibilidad que le permiten controlar el dispositivo de manera silenciosa. Una vez activo, ejecuta ataques de superposición de pantallas falsas para robar credenciales, registra pulsaciones de teclado y hasta muestra mensajes engañosos de mantenimiento programado para ocultar su actividad.

El impacto ha sido considerable. En los últimos meses, se han identificado 83 aplicaciones maliciosas con más de 23 millones de descargas en Google Play, muchas de ellas relacionadas con Anatsa y otras familias de malware. Este escenario confirma la magnitud del problema y la facilidad con que los usuarios pueden ser víctimas, aun descargando software desde plataformas oficiales.

Aunque la mayoría de los reportes internacionales señalan campañas activas en países como Alemania, Corea del Sur, Estados Unidos y Canadá, México también se encuentra entre las naciones en riesgo. El sector financiero nacional enfrenta una presión creciente pues los usuarios mexicanos sufren más de 860 millones de intentos de ciberataques diarios en aplicaciones bancarias, fintech y de comercio electrónico. Si bien no todos están vinculados a Anatsa, el modus operandi del troyano lo convierte en una amenaza potencial para el mercado mexicano, donde los troyanos bancarios son un vector de ataque cada vez más frecuente.

Frente a este panorama la unidad de investigación de SILIKN recomienda descargar aplicaciones solo de desarrolladores confiables, mantener activas las herramientas de seguridad integradas en los dispositivos, evitar conceder permisos de accesibilidad sin justificación clara, y desinstalar de inmediato cualquier aplicación que muestre un comportamiento sospechoso. Asimismo, cambiar las credenciales bancarias ante la mínima sospecha de infección puede reducir el riesgo de fraude financiero.

El caso de Anatsa demuestra una vez más que los ciberdelincuentes han perfeccionado sus métodos para infiltrarse en la vida digital de millones de usuarios, y que la confianza en las tiendas oficiales de aplicaciones ya no es suficiente. Para México, un país en el que los ciberataques crecen de manera exponencial, la alerta no puede ser ignorada: el troyano bancario Anatsa es una amenaza latente que podría afectar directamente a los usuarios y al ecosistema financiero nacional.

Para más información, visite: https://www.silikn.com/
Etiquetas: