BGRによると、これらの悪意のあるアプリは、Anatsa（別名 TeaBot）と呼ばれるマルウェアから発生したとのことです。Anatsa は、ユーザーが最初にインストールしたときは無害に見えますが、その後、アプリの更新を装った悪意のあるコードやコマンド アンド コントロール（C2）サーバーをダウンロードする、特に危険なバンキング マルウェアです。これにより、マルウェアは Android アプリ ストアでの検出を回避できます。

つまり、元のアプリは悪意のあるものではなかったということです。彼らは、多くの人を騙して安全だと思わせ、その後、正規のアプリ更新を装った悪質なコンテンツをダウンロードさせます。マルウェアがデバイスに感染し、C2 サーバーとの通信を開始すると、ユーザーのデバイスをスキャンして、インストールされている銀行アプリを検出します。

情報が見つかった場合は、それを C2 サーバーに送信し、C2 サーバーは検出されたアプリケーションに偽のログイン ページを送り返します。ユーザーがこのトリックに遭遇し、ログイン認証情報を入力すると、その認証情報はサーバーに送り返され、ハッカーはそれを使って被害者の銀行アプリにログインし、金銭を盗むことができます。

Zscaler が Anatsa に感染していると検出した 2 つのアプリには、PDF Reader & File Manager と QR Reader & File Manager が含まれます。研究者らによると、アナツァは主に英国の金融機関からのアプリケーションをターゲットにしており、米国、ドイツ、スペイン、フィンランド、韓国、シンガポールでも被害者が確認されている。しかし、専門家は、ユーザーがどこに住んでいても、危険に対して警戒するようアドバイスしています。

研究者らは、Google Play ストア上のマルウェアに感染した Android アプリの ID を公開していないが、上記の例で公開されたアプリは両方とも現在は入手できない。おそらく、Zscaler は他のアプリについても Google に警告したのでしょう。