Több mint 90 kártékony Android-alkalmazást találtak a Google Playen

A BGR szerint ezek a rosszindulatú alkalmazások egy Anatsa (más néven TeaBot) nevű kártevőből származnak, amely egy különösen veszélyes banki kártevő, és ártalmatlannak tűnik a telepítéskor, de ezután rosszindulatú kódot vagy parancs-és-vezérlési (C2) szervereket tölt le, amelyeket alkalmazásfrissítéseknek álcáznak. Ez lehetővé teszi, hogy a kártevő elkerülje az észlelést az Android alkalmazásboltokban.

Más szóval, az alkalmazások eleinte nem rosszindulatúak. Mielőtt letöltenék a legitim alkalmazásfrissítésnek álcázott rosszindulatú tartalmat, elhitetik velük, hogy biztonságban vannak. Miután a rosszindulatú program sikeresen megfertőzi az eszközt és elkezd kommunikálni a C2 szerverrel, átvizsgálja a felhasználó eszközét telepített banki alkalmazások után kutatva.

Ha bármilyen információt talál, elküldi azt a C2 szervernek, amely ezután egy hamis bejelentkezési oldalt küld vissza az észlelt alkalmazásokhoz. Ha egy felhasználó bedől ennek a trükknek, és megadja bejelentkezési adatait, az információk visszakerülnek a szerverre, amelyet a hacker ezután felhasználhat az áldozat banki alkalmazásába való bejelentkezéshez és a pénz ellopásához.

A Zscaler két alkalmazást talált Anatsa fertőzöttként: a PDF Reader & File Manager-t és a QR Reader & File Manager-t. A kutatók szerint az Anatsa elsősorban az Egyesült Királyságban működő pénzügyi intézmények alkalmazásait célozza meg, áldozatokat találtak az Egyesült Államokban, Németországban, Spanyolországban, Finnországban, Dél-Koreában és Szingapúrban is. A szakértők azonban azt tanácsolják a felhasználóknak, hogy legyenek óvatosak a veszélyekkel, függetlenül attól, hogy hol élnek.

Bár a kutatók nem hozták nyilvánosságra a fertőzött Android-alkalmazások azonosítóit a Google Play Áruházban, a fenti példában megosztott két alkalmazás már nem érhető el. Lehetséges, hogy a Zscaler figyelmeztette a Google-t más alkalmazásokra.