Android este iar in centrul unor amenintari extrem de serioase, care din pacate afecteaza inclusiv magazinul oficial Google Play, pe care-l are Google. Cercetatorii de la Threat Fabric au identificat o aplicatie ce pretinde a fi un simplu vizualizator de PDF-uri, insa, odata instalata, dezvaluie un malware periculos: trojanul bancar Anatsa. Acesta a fost descarcat de peste 50.000 de ori in ultimele saptamani, stabilind un nou record negativ pentru securitatea Android.
Android este infectat imediat dupa instalare de catre malware, deoarece trojanul devine activ in fundal si monitorizeaza aplicatiile bancare nord-americane lansate de utilizator pe dispozitiv. Cand detecteaza o tinta, Anatsa afiseaza o suprapunere care mimeaza interfata aplicatiei bancare, solicitand datele de autentificare. In paralel, malware-ul inregistreaza apasarile de taste si poate chiar automatiza tranzactii, efectuand transferuri fara stirea victimei.
Potrivit raportului Threat Fabric, la deschiderea aplicatiei bancare vizate, utilizatorii primesc un mesaj fals despre o “mentenanta programata” a sistemului, afisat in partea de sus a ecranului. Aceasta tactica ingenioasa permite Anatsa sa ascunda activitatea malitioasa si impiedica clientii sa verifice soldul contului sau sa contacteze banca in caz de suspiciune.
Anatsa nu este un intrus nou in ecosistemul Android. In noiembrie 2021, o campanie similara a atins 300.000 de descarcari in Google Play printr-o aplicatie aparent utilitara. In iunie 2023, malware-ul revenea cu o alta aplicatie, obtinand 30.000 de instalari, iar in februarie 2024 reteaua de infectie inregistra 150.000 de descarcari.
In mai 2024, firma de securitate Zscaler a detectat doua aplicatii troiene – un cititor PDF si un scaner QR – care au acumulat impreuna 70.000 de instalari, toate ascunzand codul Anatsa.
Google Play Store infectat de aplicatii cu malware pentru Android
Actuala infiltrare a fost realizata printr-un pachet numit “Document Viewer – File Reader”, publicat in Google Play de catre un cont sub denumirea “Hybrid Cars Simulator, Drift & Racing”. Operatorii troianului au asteptat sase saptamani de la lansarea initiala pentru a introduce codul malitios printr-o actualizare aparent inofensiva. Dupa instalarea componentelor daunatoare, trojanul se conecteaza la un server de comanda si control (C2), primind lista aplicatiilor bancare tinta care vor fi vizate.
Reactia Google nu a intarziat: in scurt timp, aplicatia a fost eliminata din Google Play. Totusi, expertii avertizeaza ca Anatsa gaseste periodic noil cai de a ocoli verificarile Google si de a patrunde in ecosistemul Android. Pentru a se proteja, utilizatorii ar trebui sa instaleze doar aplicatii de la edituri de renume, sa verifice recenziile din Google Play, sa acorde atentie permisiunilor solicitate de fiecare aplicatie si sa mentina pe dispozitiv un numar minim de aplicatii.
Cei care au descarcat “Document Viewer – File Reader” sunt sfatuiti sa o dezinstaleze imediat, sa ruleze o scanare completa cu Play Protect si sa reseteze datele de autentificare ale contului bancar. In plus, se recomanda monitorizarea atenta a tranzactiilor recente si, daca este cazul, contactarea imediata a institutiei financiare pentru blocarea cardurilor.
Intr-un comentariu oferit pentru BleepingComputer in data de 8 iulie 2025, un purtator de cuvant Google a declarat ca “toate aplicatiile rau intentionate identificate au fost eliminate din Google Play. Utilizatorii sunt protejati automat de Google Play Protect, care avertizeaza sau blocheaza aplicatiile suspecte pe dispozitivele Android.” Cu toate acestea, amenintarea ramane activa, iar vigilenta ramane cel mai puternic aliat al utilizatorilor in lupta impotriva troienilor bancari pe Android.
