Na Google Play bylo objeveno více než 90 škodlivých aplikací pro Android.

Podle BGR tyto škodlivé aplikace pocházejí z malwaru s názvem Anatsa (známého také jako TeaBot), což je obzvláště nebezpečný bankovní malware, který se při počáteční instalaci jeví jako neškodný, ale poté stahuje škodlivý kód nebo velitelský a řídicí (C2) server maskovaný jako aktualizace aplikace. To malwaru umožňuje vyhnout se detekci v obchodě s aplikacemi pro Android.

Jinými slovy, aplikace se zpočátku zdají být neškodné. Mnoho lidí oklamou a přesvědčí je, že jsou v bezpečí, než začnou stahovat škodlivý obsah maskovaný jako legitimní aktualizace aplikací. Jakmile malware úspěšně infikuje zařízení a začne komunikovat se serverem C2, prohledá zařízení uživatele a zjistí, zda v něm nejsou nainstalované bankovní aplikace.

Pokud jsou nalezeny nějaké informace, odešlou se na server C2, který následně odešle zpět falešnou přihlašovací stránku do detekovaných aplikací. Pokud uživatel na tento trik naletí a zadá své přihlašovací údaje, budou tyto informace odeslány zpět na server, kde je hacker může použít k přihlášení do bankovní aplikace oběti a krádeži jejích peněz.

Mezi dvě aplikace, které Zscaler detekoval jako infikované virem Anatsa, patří PDF Reader & File Manager a QR Reader & File Manager. Výzkumníci tvrdí, že Anatsa cílí primárně na aplikace finančních institucí ve Velké Británii, ale má oběti i v USA, Německu, Španělsku, Finsku, Jižní Koreji a Singapuru. Navzdory tomu odborníci radí uživatelům, aby byli ostražití ohledně nebezpečí bez ohledu na to, kde žijí.

Ačkoli vědci nesdíleli identitu aplikací pro Android infikovaných malwarem v obchodě Google Play, obě aplikace sdílené ve výše uvedeném příkladu již nejsou k dispozici. Je možné, že Zscaler upozornil Google na jiné aplikace.