Több mint 90 kártékony Android-alkalmazást fedeztek fel a Google Play áruházban.

A BGR szerint ezek a rosszindulatú alkalmazások az Anatsa (más néven TeaBot) nevű kártevőből származnak, amely egy különösen veszélyes banki kártevő, és a kezdeti telepítéskor ártalmatlannak tűnik, de ezután rosszindulatú kódot vagy egy parancs- és vezérlő (C2) szervert tölt le, amely alkalmazásfrissítésnek álcázva van. Ez lehetővé teszi, hogy a kártevő elkerülje az észlelést az Android alkalmazásboltban.

Más szóval, az alkalmazások kezdetben ártalmatlannak tűnnek. Sok embert becsapnak, elhitetve velük, hogy biztonságban vannak, mielőtt letöltenének rosszindulatú tartalmakat, amelyek legitim alkalmazásfrissítéseknek álcázva vannak. Miután a rosszindulatú program sikeresen megfertőzi az eszközt és elkezd kommunikálni a C2 szerverrel, átvizsgálja a felhasználó eszközét telepített banki alkalmazások után kutatva.

Ha bármilyen információt talál, azt elküldi a C2 szervernek, amely ezután egy hamis bejelentkezési oldalt küld vissza az észlelt alkalmazásoknak. Ha egy felhasználó bedől ennek a trükknek, és megadja a bejelentkezési adatait, az információ visszakerül a szerverre, ekkor a hacker felhasználhatja azt az áldozat banki alkalmazásába való bejelentkezéshez és a pénz ellopásához.

A Zscaler két alkalmazást észlelt Anatsa fertőzéssel: a PDF Reader & File Managert és a QR Reader & File Managert. A kutatók szerint az Anatsa elsősorban az Egyesült Királyságbeli pénzintézetek alkalmazásait célozza meg, de az Egyesült Államokban, Németországban, Spanyolországban, Finnországban, Dél-Koreában és Szingapúrban is vannak áldozatai. Ennek ellenére a szakértők azt tanácsolják a felhasználóknak, hogy legyenek éber a veszélyekkel, függetlenül attól, hogy hol élnek.

Bár a kutatók nem hozták nyilvánosságra a Google Play Áruházban a kártevővel fertőzött Android-alkalmazások azonosítóit, a fenti példában megosztott két alkalmazás már nem érhető el. Lehetséges, hogy a Zscaler értesítette a Google-t más alkalmazásokról.