Používatelia aplikácií na platforme Android čelia novej vlne rozsiahleho kybernetického útoku. Prostredníctvom aplikácie dostupnej cez oficiálny obchod Google Play sa útočníkom podarilo infikovať približne 90-tisíc zariadení sofistikovaným bankovým malvérom Anatsa. Zdanlivo bezpečná aplikácia, ktorá spočiatku fungovala ako jednoduchý prehliadač PDF dokumentov, sa po niekoľkých týždňoch od svojho uvedenia stala nástrojom na cielené krádeže prihlasovacích údajov, upozornil portál Bleeping Computer.
Škodlivá aktualizácia oklamala používateľov
Nápadne nenápadná aplikácia s názvom „PDF Update“ sa dostala do Obchodu Play začiatkom mája 2025. Vývojár označený ako „Hybrid Cars Simulator, Drift & Racing“ na prvý pohľad vôbec nevyvolával podozrenie, čo pomohlo aplikácii v krátkom čase získať dôveru používateľov. Spočiatku ponúkala štandardnú a nevinnú funkciu prehliadania PDF dokumentov, pričom základná funkcionalita nenaznačovala žiadnu hrozbu. Práve tento krok umožnil útočníkom, aby využili existujúcu dôveru a potajomky uvoľnili aktualizáciu s ukrytým škodlivým modulom Anatsa.
Táto infikovaná aktualizácia, dostupná od polovice júna 2025, aktivovala na pozadí inštaláciu ďalšieho škodlivého softvéru, ktorý potichu komunikoval s riadiacim serverom hackerov a prijímal pokyny na zacielenie konkrétnych bankových aplikácií používateľov. Keď obete otvorili svoju bankovú aplikáciu, malware falošne zobrazil oznámenie o údajnej plánovanej technickej odstávke, pričom v pozadí nenápadne zbieral citlivé prihlasovacie údaje klientov bánk. Používatelia tak zostali úplne v nevedomosti až do okamihu zistení neoprávnených finančných pohybov na svojich účtoch.
Presvedčivá metoda zabezpečila kyberzločincom úspech
Táto manipulácia so zobrazením aplikácií patrí medzi typické znaky útokov vykonaných malvérom Anatsa, známym v odborných kruhoch aj ako TeaBot či Toddler. V tomto prípade ide o mimoriadne efektívnu stratégiu útočníkov, pretože sa nezameriava na samotné technické zraniteľnosti zariadení, ale priamo využíva dôveru a správanie používateľov. Aplikácia navyše dokáže aktivovať aj iné invazívne techniky, vrátane keyloggingu (zaznamenávania stlačených kláves) a úplného ovládnutia cieľových zariadení.
Spoločnosť ThreatFabric, ktorá incident podrobne analyzovala, uviedla, že táto aplikácia bola pre priemerného používateľa prakticky nemožná odlíšiť od neškodných nástrojov. Vďaka vysokej dôveryhodnosti dokonca vystúpila na 4. priečku v rebríčku najsťahovanejších „nástrojov zdarma“ v obchode Google Play. Samotný útok trval len sedem dní, z 24. do 30. júna, napriek tomu sa počas tejto krátkej doby stal hrozbou pre desaťtisíce používateľov.
Nové výzvy pre Google Play a jeho bezpečnostné opatrenia
Tento incident opäť otvoril debatu o schopnosti Google Play efektívne ochrániť používateľov pred nebezpečnými aplikáciami. Napriek tomu, že Google po odhalení škodlivú aplikáciu okamžite odstránil zo svojej platformy, vysoký počet infikovaných zariadení je dôkazom toho, že súčasné ochranné mechanizmy sú stále nedostačujúce.
Odborníci ďalej zdôrazňujú, že Anatsa operuje v cykloch – strieda fázy aktivity s obdobiami pokoja. Táto metóda umožňuje kyberútočníkom pravidelne obmieňať postupy a techniky útoku, vďaka čomu je pre bezpečnostné softvéry náročnejšie sledovať a včas detegovať hroziaci útok.
Pre používateľov mobilného bankovníctva to znamená jednoznačný apel na zvýšenú opatrnosť a dôslednú kontrolu aplikácií, aj keď pochádzajú z oficiálnych obchodov. Malvér Anatsa potvrdil svoj status mimoriadne závažnej hrozby a súčasná udalosť iba opätovne dokazuje schopnosť hackerov neustále zdokonaľovať metódy kyberútokov na bankové aplikácie.
