Auf Google Play wurden über 90 schädliche Android-Apps entdeckt.

Laut BGR stammen diese Schadprogramme von der Malware Anatsa (auch bekannt als TeaBot), einer besonders gefährlichen Banking-Malware, die bei der ersten Installation harmlos erscheint, dann aber Schadcode oder einen Command-and-Control-Server (C2-Server) als App-Update lädt. Dadurch kann die Malware im Android App Store unentdeckt bleiben.

Anders ausgedrückt: Die Anwendungen wirken zunächst harmlos. Sie täuschen viele Nutzer, indem sie ihnen Sicherheit vorgaukeln, bevor sie Schadsoftware herunterladen, die als legitime App-Updates getarnt ist. Sobald die Malware das Gerät infiziert hat und mit dem C2-Server kommuniziert, scannt sie das Gerät des Nutzers nach installierten Banking-Anwendungen.

Werden Informationen gefunden, werden diese an den C2-Server gesendet, der daraufhin eine gefälschte Anmeldeseite an die erkannten Anwendungen zurücksendet. Fällt ein Nutzer auf diesen Trick herein und gibt seine Anmeldedaten ein, werden diese an den Server zurückgesendet. Der Hacker kann sie dann nutzen, um sich in die Banking-App des Opfers einzuloggen und dessen Geld zu stehlen.

Zwei von Zscaler als mit Anatsa infiziert identifizierte Anwendungen sind PDF Reader & File Manager und QR Reader & File Manager. Laut Forschern zielt Anatsa primär auf Anwendungen von Finanzinstituten in Großbritannien ab, hat aber auch Opfer in den USA, Deutschland, Spanien, Finnland, Südkorea und Singapur. Experten raten Nutzern dennoch, unabhängig von ihrem Wohnort wachsam zu sein.

Obwohl die Forscher die Identität der mit Malware infizierten Android-Apps im Google Play Store nicht preisgaben, sind beide oben genannten Apps nicht mehr verfügbar. Möglicherweise hat Zscaler Google über weitere Apps informiert.