Smartfóny používateľov bankových služieb boli znova ohrozené vysoko sofistikovaným bankovým malvérom Anatsa. Podvodníkom sa podarilo úspešne infikovať približne 90-tisíc zariadení cez zdanlivo nevinnú aplikáciu dostupnú v oficiálnom obchode Google Play, ktorá sa vydávala za jednoduchého prehliadača PDF dokumentov, informoval server Bleeping Computer.
Prepracovaný útok cez aplikáciu
Aplikácia „PDF Update“ vstúpila do Obchodu Play 7. mája 2025 pod menom vývojára „Hybrid Cars Simulator, Drift & Racing“, ktoré malo vzbudzovať dojem neškodnosti. Spočiatku aplikácia ponúkala iba normálnu funkciu prehliadania dokumentov vo formáte PDF, vďaka čomu si získala dôveru u veľkého počtu používateľov. Tento dôveryhodný štart následne umožnil útočníkom po šiestich týždňoch bez podozrenia implementovať aktualizáciu obsahujúcu zákerný malvérový kód Anatsa.
Bezprostredne po uskutočnení tejto aktualizácie aplikácia skryte stiahla samostatnú škodlivú komponentu priamo do používateľských zariadení. Tento modul bol nastavený tak, že automaticky komunikoval s riadiacim serverom hackerov, ktorý potom doručoval zoznam cieľových bankových inštitúcií na infikovanie.
Po otvorení cieľovej bankovej aplikácie nič netušiaceho používateľa sa zobrazilo presvedčivé oznámenie o údajnej plánovanej technickej údržbe zo strany banky. Pod rúškom takejto fiktívnej odstávky boli v pozadí potajme zhromažďované citlivé prihlasovacie údaje. Obeť tejto operácie pritom nemala dôvod na podozrenie až do momentu, keď objavila neoprávnené transakcie na svojom účte.
Známa, no stále veľmi efektívna taktika útočníkov
Práve táto technika, využívajúca prekrytie pôvodnej aplikácie falošným oznámením, patrí k charakteristickým znakom malvéru Anatsa, známeho aj pod názvami TeaBot alebo Toddler. Ide o komplikovaný a vysoko účinný útok zameraný priamo na správanie obete namiesto využitia technickej zraniteľnosti. Okrem prekrytia využíva aj technológie ako keylogging (zaznamenávanie stlačených kláves) a dokonca úplnú kontrolu infikovaného zariadenia (tzv. device takeover fraud).
Podľa bezpečnostných expertov z analytickej spoločnosti ThreatFabric pôsobila aplikácia na prvý pohľad dôveryhodne, vďaka čomu sa vyšplhala dokonca na štvrtú pozíciu v rebríčku „Top Free – Tools“ na Google Play. Načasovanie útoku bolo mimoriadne krátke – škodlivá aktivita sa sústredila iba na obdobie od 24. júna do 30. júna 2025. Napriek tomu sa počas tohto obmedzeného okna podarilo infikovať zmienených približne 90-tisíc používateľských zariadení.
Google Play stráca imidž bezpečného prostredia
Uvedený incident znova poukázal na jednoduchosť, s akou útočníci dokážu dostať pokročilý malvér do oficiálneho obchodu Android aplikácií. Aj keď Google škodlivú aplikáciu po odhalení promptne stiahol, relatívne veľký počet infikovaných zariadení poukazuje na medzery v ochrane mobilných platform.
Výraznou črtou kampaní pomocou malvéru Anatsa býva ich cyklický charakter – obdobia aktivity sa striedajú s obdobím nečinnosti, vďaka čomu môžu útočníci opakovane meniť svoje taktiky v reálnom čase. Táto premyslená stratégia komplikuje efektívnu detekciu a zvyšuje schopnosť škodlivej aplikácie prekonať bezpečnostné opatrenia.
Po nedávnom úspechu tejto konkrétnej kampane je zrejmé, že používatelia mobilných zariadení musia pristupovať k aplikáciám stiahnutým aj z oficiálnych obchodov oveľa opatrnejšie. Anatsa dlhodobo zostáva jednou z najvážnejších aktuálnych hrozieb pre používateľov mobilného internetového bankovníctva, pričom tento prípad len potvrdzuje schopnosť kyberútočníkov neustále zdokonaľovať svoje metódy útoku.
