Laut BGR stammen diese Schad-Apps von einer Malware namens Anatsa (auch bekannt als TeaBot), einer besonders gefährlichen Banking-Malware, die bei der Installation durch Benutzer harmlos erscheint, dann aber als App-Updates getarnten Schadcode oder Command-and-Control-Server (C2) herunterlädt. Dadurch kann die Malware einer Erkennung im Android App Store entgehen.

Mit anderen Worten: Die ursprünglichen Apps waren nicht bösartig. Sie täuschen viele vor, dass alles sicher sei, bevor sie schädliche Inhalte herunterladen, die als legitimes App-Update getarnt sind. Sobald die Malware das Gerät erfolgreich infiziert hat und mit dem C2-Server kommuniziert, scannt sie das Gerät des Benutzers, um installierte Banking-Apps zu erkennen.

Wenn Informationen gefunden werden, werden diese an den C2-Server gesendet, der dann eine gefälschte Anmeldeseite an die erkannten Anwendungen zurücksendet. Wenn ein Benutzer diesem Trick ausgesetzt ist und seine Anmeldeinformationen eingibt, werden diese an den Server zurückgesendet, wo Hacker sie dann verwenden können, um sich bei der Banking-App des Opfers anzumelden und dessen Geld zu stehlen.

Zwei Apps, die Zscaler als mit Anatsa infiziert erkannt hat, sind PDF Reader & File Manager und QR Reader & File Manager. Den Forschern zufolge zielt Anatsa in erster Linie auf Anwendungen von Finanzinstituten in Großbritannien ab, Opfer gibt es aber auch in den USA, Deutschland, Spanien, Finnland, Südkorea und Singapur. Experten raten den Benutzern jedoch, unabhängig von ihrem Wohnort auf die Gefahren zu achten.

Obwohl die Forscher die Identitäten der mit Malware infizierten Android-Apps im Google Play Store nicht preisgaben, sind die beiden im obigen Beispiel genannten Apps nicht mehr verfügbar. Vielleicht hat Zscaler Google auf andere Apps aufmerksam gemacht.