Populárna aplikácia z Google Play šírila bankový trojan. Mala viac ako 100 tisíc stiahnutí a tvárila sa ako obyčajný čítač dokumentov
Bankový trojan Anatsa sa opäť dostal do telefónov cez Google Play. Útočníci tentoraz využili aplikáciu, ktorá najprv pôsobila neškodne, no po aktualizácii začala do zariadení doručovať škodlivý kód.
Stiahneš si aplikáciu na čítanie dokumentov. Podobné nástroje používa denne aj veľa Slovákov, či už na otvorenie PDF faktúry, prílohy z e-mailu alebo dokumentu z práce. Má tisíce stiahnutí, slušné hodnotenia a na prvý pohľad robí presne to, čo sľubuje, otvorí PDF, zobrazí súbor a nepôsobí podozrivo. Potom príde aktualizácia a tvoj telefón si potichu stiahne bankový malvér. Presne takto sa bankový trojan Anatsa opäť dostal na Google Play. Nie ale cez pochybný web ani neznámy APK súbor, ale cez aplikáciu, ktorá si najprv získala dôveru a škodlivú časť priniesla až neskôr.
Čistá aplikácia bola len vstupná brána. Skutočný útok prišiel až po aktualizácii
Aplikácia Document Reader – PDF Reader sa tvárila ako bežný prehliadač dokumentov a správca súborov. Ide o typ softvéru, pri ktorom väčšina ľudí nečaká nič nebezpečné. Otvoríš dokument, presunieš súbor, možno si pozrieš PDF. Nič, čo by malo automaticky vyvolať podozrenie.
Problém bol v tom, že aplikácia zostala dostatočne dlho čistá. Nazbierala používateľov, stiahnutia a signály dôveryhodnosti. Až potom prišla aktualizácia, ktorá stiahla Anatsa payload zo vzdialeného servera a nainštalovala ho ako samostatnú súčasť do telefónu.
Inými slovami, nebezpečnou sa stala až v momente, keď ju už mali ľudia nainštalovanú v telefóne.
100-tisíc stiahnutí jej dodalo dôveru. Práve to útočníci potrebovali
„Bezpečnostní výskumníci z ThreatLabz odhalili v Google Play ďalšiu falošnú aplikáciu na čítanie dokumentov. Mala viac než 100-tisíc stiahnutí a do telefónov doručovala Android trojan Anatsa.“
⚠️ ThreatLabz discovered another fake document reader in the Google Play Store with more than 100K downloads, which delivers the Anatsa Android trojan.
Anatsa installer MD5 hash: f72b1a333fa28b133df6476561142d6a
Payload URL: http://66.206.6[.]6:8080/disclaimer.txt
Anatsa… pic.twitter.com/YWF12h5uFB— Zscaler ThreatLabz (@Threatlabz) June 22, 2026
Neprehliadni
Mnohí používatelia sa pri inštalovaní aplikácií rozhodujú podľa jednoduchých signálov. Počet stiahnutí, hodnotenie, recenzie, pekná ikonka a dojem, že keď je aplikácia na Google Play, niekto ju predsa musel skontrolovať. Práve túto logiku útočníci využívajú.
Podľa dostupných informácií mala aplikácia približne 100 tisíc stiahnutí. Pre bežného človeka to pôsobí ako silný argument, prečo ju skúsiť. Veď ak si ju nainštalovalo toľko ľudí, prečo by mala byť nebezpečná? Lenže pri staged útokoch, teda útokoch rozdelených do viacerých fáz, sa popularita môže zmeniť na maskovanie.
Útočníci teda neútočia okamžite. Najprv nechajú aplikáciu pôsobiť normálne. Až keď má dostatočnú dôveru, príde škodlivá aktualizácia. V tom momente už používateľ nerieši, či aplikácii verí. Už ju má v mobile.
Falošná obrazovka prekryje banku. Používateľ má pocit, že zadáva údaje do svojej aplikácie
Anatsa nepatrí medzi bežný adware, ktorý ti zaplaví telefón reklamami. Ide o bankového trojana navrhnutého na krádež prihlasovacích údajov, overlay útoky, keylogging a zneužívanie finančných transakcií. Po aktivácii sleduje, či otváraš bankové aplikácie, a dokáže nad ich rozhraním zobraziť falošnú obrazovku.
Pre obeť to často vyzerá ako bežná hláška banky, údržba služby alebo prihlasovacie okno. V skutočnosti však údaje nezadáva do aplikácie banky, ale do vrstvy, ktorú nad aplikáciou vykreslil malvér. Telefón následne navonok pôsobí normálne, no útočníci môžu na pozadí zbierať údaje alebo pripravovať zneužitie účtu.
ThreatLabz vo svojej správe uviedol, že aplikácia na Google Play fungovala ako Trojan dropper. To znamená, že sama bola nosičom, ktorý neskôr stiahol Anatsu zo vzdialeného servera a pripojil sa na infraštruktúru útočníkov zameranú na bankové operácie.
Google Play ju pustil ako čistú aplikáciu. Škodlivá časť prišla až neskôr
Google už v minulosti odstránil viacero aplikácií spojených s Anatsou. Napriek tomu sa tento malvér vracia. Dôvod je, že kontrola aplikácie pri nahratí do obchodu nemusí zachytiť hrozbu, ktorá sa aktivuje až neskôr.
O to dôležitejšie je všímať si správanie aplikácie. Ak si jednoduchý čítač dokumentov pýta podozrivo široké oprávnenia, po aktualizácii začne fungovať inak alebo zrazu vyžaduje prístup k veciam, ktoré s dokumentmi nesúvisia, je to varovný signál.
Počet stiahnutí, hodnotenia ani logo Google Play nie sú bezpečnostný certifikát. Anatsa ukazuje, že útočníkom niekedy stačí dostať aplikáciu do telefónu v čase, keď ešte vyzerá nevinne, a skutočný útok spustiť až potom, keď jej už používateľ prestal venovať pozornosť.
