Das Android-Banking-Trojaner Anatsa hat seine Aktivitäten auf die Slowakei, Slowenien und Tschechien ausgedehnt, wie bei einer im November 2023 beobachteten neuen Kampagne festgestellt wurde. Laut einem Bericht von ThreatFabric haben einige der Dropper in der Kampagne erfolgreich den Accessibility-Dienst ausgenutzt, obwohl Google Play verbesserte Erkennungs- und Schutzmechanismen implementiert hat. Alle Dropper in dieser Kampagne konnten die eingeschränkten Einstellungen für den Accessibility-Dienst in Android 13 umgehen. Insgesamt gibt es fünf Dropper mit mehr als 100.000 Installationen.
Anatsa, auch bekannt als TeaBot und Toddler, wird unter dem Deckmantel scheinbar harmloser Apps im Google Play Store verteilt. Diese Apps, genannt Dropper, erleichtern die Installation des Schadcodes, indem sie Sicherheitsmaßnahmen umgehen, die von Google auferlegt wurden, um sensible Berechtigungen zu gewähren. Im Juni 2023 enthüllte die niederländische mobile Sicherheitsfirma eine Anatsa-Kampagne, die seit mindestens März 2023 Bankkunden in den USA, Großbritannien, Deutschland, Österreich und der Schweiz ins Visier nahm, wobei Dropper-Apps verwendet wurden, die insgesamt über 30.000 Mal im Play Store heruntergeladen wurden.
Anatsa verfügt über Fähigkeiten, die es ihm ermöglichen, die volle Kontrolle über infizierte Geräte zu erlangen und Aktionen im Namen des Opfers auszuführen. Er kann auch Anmeldedaten stehlen, um betrügerische Transaktionen zu initiieren. Die neueste beobachtete Variation im November 2023 ist kein Einzelfall, da einer der Dropper sich als Telefonreinigungs-App mit dem Namen „Phone Cleaner – File Explorer“ tarnte und die Technik des Versioning einsetzte, um sein schädliches Verhalten einzuführen. Obwohl die App nicht mehr aus dem offiziellen Android-Store heruntergeladen werden kann, ist sie über zwielichtige Drittanbieterquellen noch verfügbar.
Die Dropper sind auch in der Lage, die eingeschränkten Einstellungen von Android 13 zu umgehen, indem sie den Prozess nachahmen, den Marktplätze verwenden, um neue Anwendungen zu installieren, ohne dass ihr Zugriff auf die Accessibility-Service-Funktionen deaktiviert wird. Diese gezielten Angriffe konzentrieren sich auf bestimmte Regionen und ermöglichen es den Angreifern, sich auf eine begrenzte Anzahl von Finanzorganisationen zu konzentrieren, was zu einer hohen Anzahl von Betrugsfällen in kurzer Zeit führt. Eine weitere Kampagne verteilt den SpyNote-Fernzugriffstrojaner, indem sie eine legitime singapurische Kryptowallet-Service namens imToken imitiert, um Ziel-Wallet-Adressen zu ersetzen und betrügerische Vermögensüberweisungen durchzuführen.