W Google Play odkryto ponad 90 złośliwych aplikacji na Androida.

Według BGR , te złośliwe aplikacje pochodzą od złośliwego oprogramowania o nazwie Anatsa (znanego również jako TeaBot), szczególnie niebezpiecznego oprogramowania bankowego, które wydaje się nieszkodliwe po instalacji, ale następnie pobiera złośliwy kod lub serwer poleceń i kontroli (C2) podszywający się pod aktualizację aplikacji. Pozwala to złośliwemu oprogramowaniu uniknąć wykrycia w sklepie z aplikacjami dla systemu Android.

Innymi słowy, aplikacje początkowo wydają się nieszkodliwe. Oszukują wiele osób, utwierdzając je w przekonaniu, że są bezpieczne, zanim pobiorą złośliwe treści podszywające się pod legalne aktualizacje aplikacji. Gdy złośliwe oprogramowanie skutecznie zainfekuje urządzenie i rozpocznie komunikację z serwerem C2, skanuje urządzenie użytkownika w poszukiwaniu zainstalowanych aplikacji bankowych.

W przypadku znalezienia jakichkolwiek informacji, zostaną one przesłane do serwera C2, który następnie odeśle fałszywą stronę logowania do wykrytych aplikacji. Jeśli użytkownik da się nabrać na tę sztuczkę i wprowadzi swoje dane logowania, informacje te zostaną odesłane na serwer, gdzie haker może je wykorzystać do zalogowania się do aplikacji bankowej ofiary i kradzieży jej pieniędzy.

Dwie aplikacje, które Zscaler wykrył jako zainfekowane przez Anatsę, to PDF Reader & File Manager oraz QR Reader & File Manager. Badacze twierdzą, że Anatsa atakuje głównie aplikacje instytucji finansowych w Wielkiej Brytanii, ale ma również ofiary w Stanach Zjednoczonych, Niemczech, Hiszpanii, Finlandii, Korei Południowej i Singapurze. Mimo to eksperci zalecają użytkownikom zachowanie czujności na zagrożenia, niezależnie od miejsca zamieszkania.

Chociaż badacze nie ujawnili tożsamości aplikacji na Androida zainfekowanych złośliwym oprogramowaniem w sklepie Google Play, obie aplikacje udostępnione w powyższym przykładzie nie są już dostępne. Możliwe, że Zscaler powiadomił Google o innych aplikacjach.