Používatelia Android zariadení čelia ďalšej rozsiahlej internetovej hrozbe. Bankový malvér s názvom Anatsa infikoval približne 90-tisíc smartfónov cez oficiálny obchod Google Play. Škodlivú aplikáciu predstierajúcu jednoduchého PDF prehliadača odhalili bezpečnostní analytici spoločnosti ThreatFabric a o incidente informoval server Bleeping Computer.
Skrytý malvér v populárnej aplikácii PDF Update
Škodlivá aplikácia pod menom „PDF Update“ sa objavila v ponuke obchodu Google Play 7. mája 2025. Vydával ju vývojár s názvom „Hybrid Cars Simulator, Drift & Racing“, ktorý pôsobil na prvý pohľad nevinne a dôveryhodne. Aplikácia spočiatku poskytovala používateľom štandardné nástroje na čítanie dokumentov vo formáte PDF, čím získala významnú popularitu a dôveru.
Útočníci vyčkali na etablovanie aplikácie medzi používateľmi, aby po približne šiestich týždňoch nenápadne vypustili aktualizáciu s ukrytým škodlivým programom Anatsa. Tento škodlivý modul následne potichu stiahol ďalšie súčasti priamo do napadnutých smartfónov, čím kompletne pripravil pôdu pre sofistikované bankové útoky.
Pri otvorení skutočnej bankovej aplikácie infikovaných používateľov sa im zjavil falošný informačný banner, ktorý upozorňoval na fiktívnu technickú údržbu. Zatiaľ čo pozornosť obetí bola odvedená, malvér nenápadne zhromažďoval prihlasovacie a ďalšie citlivé údaje. Používateľ si nemusel nič podozrivé všimnúť až do chvíle, keď objavil podozrivo vysoké alebo neoprávnené transakcie na svojom bankovom účte.
Obľúbenosť aplikácie umožnila rýchle šírenie škodlivého kódu
Anatsa, často známa aj pod názvami TeaBot alebo Toddler, je nebezpečný bankový malvér, ktorý využíva viacero sofistikovaných útokových metód. Jeho hlavnou technikou je tzv. prekrytie aplikácie (Application Overlay Attack), pri ktorom je pravá banková aplikácia prekrytá falošným oznámením. Takto podvodníci dokážu získať nielen prihlasovacie údaje, ale napríklad aj zachytiť stlačené klávesy (keylogging) či dokonca úplne prevziať kontrolu nad zariadením obete.
Len krátke obdobie pôsobnosti škodlivého kódu stačilo na výrazný úspech útočníkov. Podľa údajov analytikov z ThreatFabric prebehla aktívna fáza útoku iba od 24. júna do 30. júna 2025. Aj také krátke časové okno stačilo na infikovanie približne 90-tisíc Android zariadení vďaka popularite aplikácie, ktorá sa dokonca vyšplhala až na 4. miesto medzi najsťahovanejšími bezplatnými aplikáciami v kategórii „Nástroje“.
Google Play čelí kritike za bezpečnostné medzery
Incident s malvérom Anatsa opätovne ukazuje, že Google stále nevyriešil problém nedostatočnej ochrany svojho oficiálneho obchodu Google Play. Napriek promptnému odstráneniu škodlivej aplikácie po jej odhalení počet zasiahnutých používateľov poukazuje na zraniteľnosti súčasného bezpečnostného systému, ktorý nie vždy dokáže odhaliť maskovaný malvér.
Analýza kampaní využívajúcich malvér Anatsa naznačuje ich prepracovanosť a vysokú flexibilitu. Útočníci aplikáciu nevyužívajú kontinuálne, ale striedajú aktívne časy s obdobiami nečinnosti, počas ktorých sa snažia zdokonaľovať svoje útočné metódy a zároveň sa vyhýbať detekcii zo strany bezpečnostných systémov.
Neprehliadnite
Experti opätovne zdôrazňujú nutnosť obozretnosti pri sťahovaní aplikácií aj z oficiálnych zdrojov. Kybernetické útoky typu Anatsa sa totiž zameriavajú predovšetkým na ľudský faktor a na manipuláciu správania sa koncových používateľov, čo výrazne sťažuje akúkoľvek detekciu. Tento najnovší incident preto pripomína používateľom, že žiadna platforma ani obchod aplikácií dnes nemôžu garantovať absolútnu bezpečnosť bez dostatočnej spolupráce samotných používateľov.
