BGR 에 따르면, 이러한 악성 앱은 Anatsa(TeaBot으로도 알려짐)라는 맬웨어에서 유래했습니다. 특히 위험한 은행 맬웨어로, 사용자가 처음 설치했을 때는 무해해 보이지만 나중에 앱 업데이트로 위장한 악성 코드나 명령 및 제어(C2) 서버를 다운로드합니다. 이를 통해 맬웨어는 Android 앱 스토어에서 감지되지 않을 수 있습니다.

즉, 원래 앱은 악성이 아니었습니다. 이들은 합법적인 앱 업데이트로 위장한 악성 콘텐츠를 다운로드하기 전에 많은 사람들이 안전하다고 생각하도록 속입니다. 악성 소프트웨어가 기기를 성공적으로 감염시키고 C2 서버와 통신을 시작하면 사용자 기기를 스캔하여 설치된 뱅킹 앱을 감지합니다.

정보를 찾으면 C2 서버로 전송하고, C2 서버는 감지된 애플리케이션에 가짜 로그인 페이지를 다시 전송합니다. 사용자가 이런 속임수에 노출되어 로그인 자격 증명을 입력하면 해당 자격 증명은 서버로 다시 전송되고, 해커는 이를 사용해 피해자의 뱅킹 앱에 로그인하여 돈을 훔칠 수 있습니다.

Zscaler가 Anatsa에 감염된 것으로 감지한 두 가지 앱에는 PDF Reader & File Manager와 QR Reader & File Manager가 있습니다. 연구원들은 Anatsa가 주로 영국의 금융 기관의 애플리케이션을 표적으로 삼고 있으며, 미국, 독일, 스페인, 핀란드, 한국, 싱가포르에서도 피해자가 발견되었다고 밝혔습니다. 그러나 전문가들은 사용자들에게 거주지에 관계없이 위험에 대해 항상 경계할 것을 권고합니다.

연구원들은 Google Play 스토어에서 맬웨어에 감염된 Android 앱의 신원을 공개하지 않았지만, 위의 예에서 공유된 두 앱은 더 이상 사용할 수 없습니다. 아마도 Zscaler가 다른 앱에 대해 Google에 경고했을 수도 있습니다.