Hack Alerta

App malicioso na Google Play com 50K downloads instala trojan Anatsa

Por Redação Hack Alerta Publicado em 08/12/2025 15:00 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisadores da Zscaler ThreatLabz identificaram um aplicativo na Google Play ("Document Reader – File Manager", por ISTOQMAH) com mais de 50 mil downloads que atua como dropper do trojan bancário Anatsa. O malware solicita permissões de acessibilidade e privilégios para sobrepor telas de aplicativos bancários e capturar credenciais; ThreatLabz publicou IOCs e hashes para detecção.

App malicioso na Google Play com 50K downloads instala trojan Anatsa

Um aplicativo disfarçado de leitor de documentos e gerenciador de arquivos, publicado na Google Play, instalava o trojan bancário Anatsa (TeaBot) em dispositivos Android — segundo análise da Zscaler ThreatLabz reportada pelo Cyber Security News. A amostra identificada soma mais de 50 mil downloads enquanto permanecia disponível na loja.

Descoberta e escopo / O que mudou agora

A Zscaler ThreatLabz identificou o aplicativo listado como “Document Reader – File Manager”, desenvolvido por ISTOQMAH, que funcionava como dropper: após a instalação do app legítimo de fachada, ele silenciosamente baixava o payload do trojan Anatsa a partir de servidores de comando e controle. A campanha faz parte de uma onda maior — ThreatLabz reportou 77 apps maliciosos semelhantes removidos recentemente, totalizando cerca de 19 milhões de instalações.

Vetor e exploração / Mitigações

O dropper solicita permissões de uso legítimas para mascarar a atividade maliciosa e, depois de instalado, faz fetch do payload camuflado como atualização. Quando verificações internas falham, o aplicativo exibe um gerenciador de arquivos falso para manter a aparência inócua.

Uma vez ativo, o Anatsa tenta obter permissões de acessibilidade e privilégios perigosos — citados na análise — como SYSTEM_ALERT_WINDOW e READ_SMS, além de intenções de tela cheia. Com essas permissões, o malware implementa overlays e páginas de phishing tailor-made para aplicativos bancários detectados no dispositivo.

Impacto e alcance / Setores afetados

Variantes recentes do Anatsa ampliaram alvos para mais de 831 instituições financeiras e passaram a mirar também serviços de criptomoedas, segundo o relatório. A campanha documentada atingiu principalmente usuários que baixaram o aplicativo da Play Store; a análise menciona impacto notório na América do Norte, mas indica expansão para novas regiões como Alemanha e Coreia do Sul.

Indicadores técnicos e detecção

A ThreatLabz publicou indicadores de comprometimento (IOCs) para auxiliar times de detecção e resposta. Entre os artefatos identificados estão:

  • Nome do pacote: com.quantumrealm.nexdev.quarkfilerealm_filedoctool
  • MD5 do instalador: 98af36a2ef0b8f87076d1ff2f7dc9585
  • MD5 do payload: da5e24b1a97faeacf7fb97dbb3a585af
  • URL usado para download do payload: https://quantumfilebreak[.]com/txt.txt
  • Servidores C2 citados: http://185.215.113[.]108:85/api/, http://193.24.123[.]18:85/api/, http://162.252.173[.]37:85/api/

As técnicas de evasão observadas incluem DES em tempo de execução para strings, checagens de modelo de dispositivo para evitar emuladores e pacotes ZIP malformados que escondem payloads DEX, dificultando análise estática.

Limites das informações / O que falta saber

O relatório público não detalha números precisos de dispositivos comprometidos além do total de downloads da Play Store, nem fornece amostras completas de comunicação pós-injeção. Não há indicação no texto fonte de identificação de empresas vítimas específicas — portanto não há confirmação de incidentes corporativos relacionados a essa amostra em particular.

Recomendações práticas

  • Times de segurança móvel e MTD devem bloquear o pacote e hashes conhecidos, bem como monitorar conexões para os C2 listados.
  • Reforçar inspeção de permissões de aplicativos e restringir instalações de fontes desconhecidas; rever políticas de uso de acessibilidade em dispositivos corporativos.
  • Utilizar detecção baseada em comportamento para capturar overlays maliciosos e fluxos que solicitam SMS/ leituras de mensagens.
  • Dispositivos potencialmente afetados devem passar por forense de endpoint e remoção do app, além da rotação de credenciais bancárias caso haja sinais de fraude.

Repercussão / Próximos passos

O caso reforça a necessidade de avaliação contínua de aplicações em stores oficiais e atualização das regras de proteção em marketplaces. A fonte recomenda que equipes de segurança incorporem os IOCs publicados pela ThreatLabz em suas ferramentas de monitoramento e que usuários examinem permissões solicitadas por apps de utilidade antes da instalação.

Citação direta da fonte: “ThreatLabz has identified another malicious Android app in the Google Play Store that is still currently live with over 50K downloads.” — Zscaler ThreatLabz (relatado pelo Cyber Security News).

Baseado em publicação original de Cyber Security News
Tags: #android #anatsa #banking-trojan #google-play #mobile-malware #dropper #app-permissions #accessibility-overlay #iocs
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar