dựa theo NềnGRCác ứng dụng độc hại này có nguồn gốc từ phần mềm độc hại có tên Anatsa (còn được gọi là TeaBot), một loại phần mềm độc hại ngân hàng đặc biệt nguy hiểm, trông có vẻ vô hại khi người dùng cài đặt lần đầu nhưng sau đó tải xuống mã độc hoặc máy chủ ra lệnh và kiểm soát (C2) được ngụy trang dưới dạng phần mềm độc hại. Cập nhật ứng dụng. Điều này cho phép phần mềm độc hại tránh bị cửa hàng ứng dụng Android phát hiện.
Nói cách khác, ứng dụng gốc không có độc hại. Chúng khiến nhiều người nghĩ rằng họ an toàn trước khi tải xuống nội dung độc hại được ngụy trang dưới dạng bản cập nhật ứng dụng hợp pháp. Sau khi phần mềm độc hại lây nhiễm thành công vào thiết bị và bắt đầu liên lạc với máy chủ C2, nó sẽ quét thiết bị của người dùng để phát hiện mọi ứng dụng ngân hàng đã cài đặt.
Nếu tìm thấy bất kỳ thông tin nào, nó sẽ gửi nó đến máy chủ C2, sau đó máy chủ này sẽ gửi một trang đăng nhập giả mạo trở lại ứng dụng được phát hiện. Nếu người dùng gặp phải thủ thuật này và nhập thông tin đăng nhập của họ, những thông tin đăng nhập đó sẽ được gửi trở lại máy chủ, sau đó tin tặc có thể sử dụng thông tin này để đăng nhập vào ứng dụng ngân hàng của nạn nhân và đánh cắp tiền của họ.
Hai ứng dụng được Zscaler phát hiện là bị nhiễm Anatsa bao gồm trình đọc PDF và trình quản lý tệp cũng như trình quản lý tệp và trình đọc QR. Các nhà nghiên cứu cho biết Anatsa chủ yếu nhắm mục tiêu vào các ứng dụng từ các tổ chức tài chính ở Vương quốc Anh, nhưng cũng có nạn nhân ở Hoa Kỳ, Đức, Tây Ban Nha, Phần Lan, Hàn Quốc và Singapore. Tuy nhiên, các chuyên gia khuyên người dùng nên cảnh giác trước những nguy hiểm dù ở bất cứ đâu.
Mặc dù các nhà nghiên cứu không chia sẻ danh tính của các ứng dụng Android bị nhiễm phần mềm độc hại trên Cửa hàng Google Play nhưng cả hai ứng dụng được chia sẻ trong ví dụ trên đều không còn khả dụng. Có lẽ Zscaler đã cảnh báo Google về các ứng dụng khác.