U popularnoj PDF aplikaciji na Google Play otkriven opasni bankarski trojanac Anatsa

Mobilni telefoni, 09.07.2025, 13:00 PM

Zamislite sledeću situaciju: preuzmete običnu aplikaciju za pregled PDF fajlova. Radi besprekorno, ima hiljade preuzimanja, odlične ocene i sve izgleda potpuno legitimno. Ali posle par nedelja, u pozadini, bez ikakvog upozorenja, ista aplikacija pretvara se u bankarskog trojanca koji beleži svaku vašu lozinku, omogućavajući lopovima da vam isprazne račun. Upravo to se sada dešava korisnicima u Severnoj Americi, ali i u drugim delovima sveta.

Istraživači iz ThreatFabric-a otkrili su novu kampanju bankarskog trojanca Anatsa, koji se distribuira putem aplikacije „Document Viewer - File Reader“. Ova aplikacija, koju je razvila firma neobičnog imena „Hybrid Cars Simulator, Drift & Racing“, našla se među najpopularnijim besplatnim alatima na Play Store-u, sa čak oko 90.000 preuzimanja!

Anatsa, poznat i kao TeaBot ili Toddler, je Android bankarski malver koji kruži internetom od 2020. godine. U pitanju je pravi kameleon: prvo se maskira kao bezopasna aplikacija - najčešće PDF čitač, čistač telefona ili sličan koristan alat. Kada instalirate aplikaciju, ona u početku zaista radi ono što obećava. Međutim, posle nekoliko nedelja stiže ažuriranje: nova verzija uvlači dropper kod koji automatski preuzima i instalira trojanca Anatsa na telefon.

Kada se nađe na uređaju, Anatsa se povezuje sa serverom i preuzima listu ciljanih banaka. Čim pokušate da otvorite aplikaciju svoje banke, dočekuje vas lažni ekran koji tvrdi da je usluga privremeno obustavljena zbog „održavanja“. Ova taktika ne samo da prikriva ono što se dešava unutar aplikacije, već i sprečava korisnike da kontaktiraju tim za podršku banke, čime se odlaže otkrivanje finansijske prevare.

U stvarnosti, dok vi verujete da aplikacija ne radi, malver beleži sve vaše lozinke, PIN-ove i podatke. Još gore, Anatsa ima opciju Device-Takeover Fraud (DTO), što znači da može potpuno samostalno pokrenuti transakcije sa vašeg računa, a da vi to uopšte ne primetite.

Zašto je Anatsa toliko opasan?

Glavni trik je u njegovoj cikličnosti: napadi dolaze u talasima, sa dugim periodima mirovanja. To otežava Google-u da ga detektuje odmah. Pritom, sve se dešava preko legitimne Play Store aplikacije - nema sumnjivih APK fajlova ni sumnjivih linkova.

ThreatFabric kaže da Anatsa koristi dobro uhodanu taktiku: otvoriti nalog programera na Google Play-u → objaviti potpuno ispravnu i korisnu aplikaciju → sačekati hiljade preuzimanja i dobre ocene → i tek onda poslati ažuriranje koje donosi malver.

Često se koristi i overlay trik: kad god korisnik otvori aplikaciju banke, Anatsa prikaže lažni interfejs preko prave aplikacije i hvata sve što kucate.

Google je povukao sve identifikovane aplikacije i tvrdi da Play Protect automatski štiti korisnike i blokira maliciozne aplikacije. Ipak, realnost je da je dovoljno samo nekoliko dana da malver nađe put do desetina hiljada uređaja.

ThreatFabric upozorava da je ovo već treći put da Anatsa cilja korisnike u Severnoj Americi, a slične kampanje već su pogađale i delove Evrope poput Slovačke, Slovenije i Češke.

Kako da se zaštitite?

√ Proveravajte ko je izdavač aplikacije i koliko dugo postoji - čudni nazivi programera su crveni alarm.

√ Nemojte slepo verovati visokoj oceni i broju preuzimanja.

√ Ako aplikacija traži čudne dozvole ili odjednom traži Accessibility Services, razmislite dvaput.

√ Ako aplikacija vaše banke iznenada ne radi „zbog održavanja“ dok pokušavate da se ulogujete, odmah kontaktirajte podršku - ne verujte slepo onome što piše na ekranu.

√ Ažurirajte redovno Android i koristite Play Protect, ali imajte na umu: ni jedna zaštita nije 100% sigurna.

Anatsa je još jedan podsetnik da čak ni zvanični Play Store nije savršeno bezbedan. Dovoljan je jedan nepažljiv tap na „Update“ da otvorite vrata malveru.

Ilustracija: AI