Anatsa im Play Store: 100.000 Downloads einer Fake-Banking-App

Sicherheitsforscher decken koordinierte Angriffe auf Finanzinstitute auf der Iberischen Halbinsel auf. Die Schadsoftware nutzt raffinierte Methoden.

Die Schadsoftware Ousaban und Anatsa setzt dabei auf raffinierte Methoden – von gezielter Geofencing-Technik bis zu infizierten Apps im offiziellen Google Play Store.

Ousaban: Brasilianische Malware zielt auf die Iberische Halbinsel

Der ursprünglich aus Brasilien stammende Banking-Trojaner Ousaban hat sein Operationsgebiet verlagert. Seit Anfang Juli 2026 konzentrieren sich die Angreifer gezielt auf Nutzer in Spanien und Portugal. Die Besonderheit: Die Täter nutzen serverseitiges Geofencing, um sicherzustellen, dass nur die gewünschten Opfer infiziert werden.

Der Infektionsweg beginnt mit einer Phishing-PDF, die hexadezimal kodiertes JavaScript enthält. Dieses leitet die Nutzer auf eine kontrollierte Landingpage weiter. Dort laufen mehrere Prüfungen ab: Die Seite analysiert die IP-Adresse des Besuchers, die Systemsprache und die Zeitzone. Verbindungen über VPNs werden blockiert. Wer die Kriterien nicht erfüllt, erhält lediglich eine generische Zugriffsverweigerung.

Erst nach bestandener Prüfung startet ein VBS-Downloader. Er ruft ein Bild mit verstecktem Inhalt ab – eine Steganographie-Technik. In dem Bild verbirgt sich ein ZIP-Archiv, das schließlich die eigentliche Schadsoftware auf den Rechner des Opfers bringt.

Ist Ousaban erst aktiv, sichert es sich dauerhaft über einen Registry-Eintrag namens „Financeiro“ und eine Datei mit dem Namen „maisum.dat“. Die Kommandozentrale der Malware arbeitet mit täglich wechselnden DDNS-Adressen. Diese werden aus einem MD5-Hash des aktuellen Datums und einem fest codierten String generiert. Die Trojaner-Steuerung erlaubt unter anderem Fernzugriff und Bildschirmaufnahmen – erkennbar an Befehlen wie „#Convite#“, „#Handle#“ und „#Iniciar#“.

Anatsa: Über 100.000 Downloads durch Fake-App im Google Play Store

Parallel dazu läuft eine zweite Kampagne, die es auf mobile Nutzer abgesehen hat. Der Banking-Trojaner Anatsa tarnte sich als harmloser Dokumentenleser im offiziellen Google Play Store. Die App wurde über 100.000 Mal heruntergeladen – eine gefährliche Erfolgsbilanz.

Anzeige

Über 100.000 Downloads einer Fake-App im Play Store – der Banking-Trojaner Anatsa tarnte sich als harmloser Dokumentenleser. Mit unserer 3-Schritte-Checkliste erkennen Sie solche Fake-Apps sofort und schützen Ihre Banking-Daten. Jetzt kostenlosen Sicherheits-Guide anfordern

Die Infektion erfolgt mehrstufig: Die heruntergeladene App funktioniert zunächst scheinbar normal. Erst später lädt sie im Hintergrund eine zweite, bösartige Komponente nach. Dann fordert die Malware Berechtigungen für die Accessibility Services – eine Funktion, die eigentlich für Barrierefreiheit gedacht ist.

Damit erhält Anatsa weitreichende Kontrolle: Es zeichnet Tastatureingaben auf, überwacht die Bildschirmaktivität und legt gefälschte Login-Fenster über echte Banking-Apps. Durch den Zugriff auf SMS-Nachrichten und Transaktionsbestätigungen kann der Trojaner nicht nur Zugangsdaten stehlen, sondern auch Zwei-Faktor-Authentifizierungscodes in Echtzeit abfangen.

IronToll: Phishing als Dienstleistung für globale Betrugswellen

Hinter den konkreten Trojaner-Angriffen steckt eine noch größere Infrastruktur. Seit dem 5. Juli 2026 ist bekannt, dass die Kampagne „IronToll“ weltweit aktiv ist. Dabei handelt es sich um einen Phishing-as-a-Service-Anbieter, der sich als Regierungsbehörden ausgibt.

Das System, genannt „Iron Man System“, betreibt über 90 Domains. Diese imitieren offizielle Portale von Steuerbehörden, Regierungsstellen und Paketdiensten in zehn Ländern. Die Betreiber stehlen in Echtzeit Zugangsdaten und Kreditkarteninformationen. Gehostet wird die Infrastruktur auf Cloud-Plattformen wie Tencent und Alibaba Cloud.

Sicherheitsexperten warnen: Vorsicht vor unerwarteten PDFs

Anzeige

Ihr Smartphone ist Ihr wichtigstes Banking-Tool – und genau dort lauert die Gefahr. Anatsa umgeht die Zwei-Faktor-Authentifizierung und stiehlt Zugangsdaten in Echtzeit. Unser Notfallplan zeigt Ihnen, wie Sie bei Verdacht richtig reagieren. Notfallplan jetzt sichern

Die aktuellen Angriffswellen zeigen: Cyberkriminelle investieren zunehmend in maßgeschneiderte Methoden. Die Kombination aus Geofencing, mehrstufigen Infektionswegen und dem Missbrauch offizieller App-Stores macht die Bedrohung besonders tückisch.

Sicherheitsforscher empfehlen Nutzern in den betroffenen Regionen, unerwartete PDF-Dokumente mit größter Vorsicht zu behandeln. Bei mobilen Apps gilt: Die vergebenen Berechtigungen regelmäßig prüfen – besonders der Zugriff auf die Accessibility-Funktionen sollte genau hinterfragt werden.