بیش از ۹۰ برنامه مخرب اندروید در گوگل پلی کشف شد.

طبق گزارش BGR ، این برنامه‌های مخرب از بدافزاری به نام Anatsa (که با نام TeaBot نیز شناخته می‌شود) سرچشمه می‌گیرند، یک بدافزار بانکی بسیار خطرناک که در هنگام نصب اولیه بی‌خطر به نظر می‌رسد اما سپس کد مخرب یا یک سرور فرمان و کنترل (C2) را که در قالب به‌روزرسانی برنامه پنهان شده است، دانلود می‌کند. این امر به بدافزار اجازه می‌دهد تا از شناسایی در فروشگاه برنامه‌های اندروید فرار کند.

به عبارت دیگر، این برنامه‌ها در ابتدا بی‌خطر به نظر می‌رسند. آن‌ها بسیاری از افراد را فریب می‌دهند تا باور کنند که ایمن هستند و سپس اقدام به دانلود محتوای مخرب در قالب به‌روزرسانی‌های قانونی برنامه‌ها می‌کنند. هنگامی که بدافزار با موفقیت دستگاه را آلوده کرد و شروع به برقراری ارتباط با سرور C2 کرد، دستگاه کاربر را برای یافتن هرگونه برنامه بانکی نصب شده اسکن می‌کند.

اگر اطلاعاتی پیدا شود، آن اطلاعات را به سرور C2 ارسال می‌کند، که سپس یک صفحه ورود جعلی را به برنامه‌های شناسایی شده ارسال می‌کند. اگر کاربری فریب این ترفند را بخورد و اطلاعات ورود خود را وارد کند، آن اطلاعات به سرور ارسال می‌شود، در این مرحله هکر می‌تواند از آن برای ورود به برنامه بانکی قربانی و سرقت پول او استفاده کند.

دو برنامه‌ای که Zscaler به عنوان برنامه‌های آلوده به Anatsa شناسایی کرد شامل PDF Reader & File Manager و QR Reader & File Manager است. محققان می‌گویند که Anatsa در درجه اول برنامه‌های موسسات مالی در بریتانیا را هدف قرار می‌دهد، اما قربانیانی در ایالات متحده، آلمان، اسپانیا، فنلاند، کره جنوبی و سنگاپور نیز دارد. با وجود این، کارشناسان به کاربران توصیه می‌کنند که صرف نظر از محل زندگی خود، در مورد خطرات هوشیار باشند.

اگرچه محققان هویت برنامه‌های اندرویدی آلوده به بدافزار را در فروشگاه گوگل پلی به اشتراک نگذاشتند، اما هر دو برنامه‌ای که در مثال بالا به اشتراک گذاشته شده بودند، دیگر در دسترس نیستند. این احتمال وجود دارد که Zscaler در مورد برنامه‌های دیگر به گوگل هشدار داده باشد.