Um aplicativo Android enganoso escondido na Google Play Store, disfarçado de leitor de documentos e gerenciador de arquivos, mas entregando o trojan bancário Anatsa aos usuários.
A empresa de segurança cibernética Zscaler ThreatLabz encontrou um aplicativo chamado “Document Reader – File Manager” do desenvolvedor ISTOQMAH. O aplicativo acumulou mais de 50.000 downloads enquanto permaneceu ativo, enganando os usuários para que concedessem permissões que permitem o roubo de dados financeiros.
Esta campanha destaca os desafios contínuos na proteção de lojas de aplicativos oficiais contra sofisticados droppers de malware.
Anatsa, também conhecido como TeaBot, surgiu em 2020 como um malware bancário para Android especializado em roubo de credenciais, keylogging e transações fraudulentas direcionadas a aplicativos financeiros.
Variantes recentes se expandiram para mais de 831 instituições em todo o mundo, incluindo novas regiões como Alemanha e Coreia do Sul, além de plataformas de criptomoedas.
O Trojan emprega táticas avançadas de evasão, como descriptografia de strings DES em tempo de execução, verificações de modelo de dispositivo para evitar emuladores e arquivos ZIP malformados que escondem cargas úteis DEX que escapam de ferramentas de análise estática.
Nesse caso, o aplicativo conta-gotas se apresenta como uma ferramenta benigna para abrir PDFs, digitalizar documentos e gerenciar arquivos, completo com uma interface intuitiva.
Após a instalação, ele busca silenciosamente a carga útil do Anatsa disfarçada como uma atualização de um servidor de comando e controle, ignorando as proteções da Play Store. Se as verificações falharem, ele exibe um gerenciador de arquivos falso para manter a cobertura.
Uma vez ativo, o Anatsa busca permissões de acessibilidade para conceder automaticamente privilégios perigosos como SYSTEM_ALERT_WINDOW, READ_SMS e intenções de tela cheia e, em seguida, sobrepõe páginas de phishing personalizadas para aplicativos bancários detectados.
O ThreatLabz detalhou indicadores específicos para esta onda Anatsa, auxiliando nos esforços de detecção. A página do aplicativo na Play Store o promove como uma “solução completa” para documentos, mas contém código malicioso.
⚠️ThreatLabz identificou outro aplicativo Android malicioso na Google Play Store que ainda está ativo com mais de 50 mil downloads. O aplicativo está disfarçado de leitor de documentos/gerenciador de arquivos, mas na verdade baixa o trojan Anatsa. Os IOCs abaixo podem ser usados para identificar isso… pic.twitter.com/XlhXvgv5Ko
-Zscaler ThreatLabz (@Threatlabz) 8 de dezembro de 2025
Este aplicativo se junta a dezenas de iscas semelhantes, com ThreatLabz relatando 77 aplicativos maliciosos, totalizando 19 milhões de instalações removidas recentemente do Google Play. As campanhas da Anatsa frequentemente usam aplicativos de produtividade, como visualizadores de documentos, explorando a confiança em ferramentas utilitárias.
Os usuários enfrentam riscos de roubo de credenciais bancárias por meio de logins falsos ou fraude automatizada, especialmente na América do Norte, onde as cepas anteriores tiveram uma classificação elevada nas seções “Ferramentas Gratuitas”. O Google reforçou o Play Protect, mas os relatórios oportunos dos pesquisadores continuam cruciais.
Os proprietários de Android devem examinar minuciosamente as permissões dos aplicativos, evitar atualizações não solicitadas e usar antivírus. As equipes de segurança podem aproveitar esses IOCs para monitoramento de rede e análise forense de dispositivos.
Indicadores de campanha
Nome do pacote de valor do indicadorcom.quantumrealm.nexdev.quarkfilerealm_filedoctool G7qS0W6bMAEE2v4.jpgInstalador MD598af36a2ef0b8f87076d1ff2f7dc9585Carga útil MD5da5e24b1a97faeacf7fb97dbb3a585afBaixar URLhttps://quantumfilebreak(.)com/txt.txtServidores C2http://185.215.113(.)108:85/api/
http://193.24.123(.)18:85/api/
http://162.252.173(.)37:85/api/
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Contate-nos para apresentar suas histórias.
