Az Anatsa, más néven TeaBot rosszindulatú program először 2021 májusában jelent meg, akkoriban látszólag valódi PDF dokumentum- és QR kód olvasó alkalmazásként került a Play Store alkalmazásboltba, ezt követően pedig 2021 novemberében bukkant fel ismét különböző dropper alkalmazásokban.
A mostani kampány során a TeaBot RAT több mint 400 ─ jellemzően Oroszország, Kína és az Egyesült Államok ─ banki és pénzügyi alkalmazásait célozza. Idén január elején a Bitdefender kutatói fedezték fel a malware-t egy „QR code Reader – Scanner” nevű alkalmazásban, amit egy hónapon belül 100 000-en telepítettek, majd 2022. február 21-én a Cleafy számolt be egy, szintén a káros programot is tartalmazó „QR Code & Barcode – Scanner” nevű alkalmazásról, amit 10 000-en töltöttek le a Play Store-ból.
A TeaBot RAT működését tekintve hasonló a korábbihoz, az alkalmazás telepítését követően a felhasználóknak engedélyezniük kell a kiegészítő frissítések telepítését, amivel valójában egy, a GitHub-on lévő rosszindulatú alkalmazást telepítenek az eszközre. A malware képességei rendkívüliek, ugyanis élőben közvetíti a fertőzött eszközök képernyőjét a támadóknak, miközben kompromittálja a kisegítő szolgáltatásokat (Accessibility Services) a távoli elérés és a kulcsnaplózás céljából – derül ki a Cleafy jelentéséből. Mindez lehetővé teszi, hogy a támadók átvegyék a teljes irányítást a fertőzött eszközök felett.
Érdemes megjegyezni, hogy ez a fertőzési módszer, csak abban az esetben működőképes, ha a felhasználók eszközein engedélyezve van az ismeretlen forrásból származó alkalmazások telepítése, így javasolt ezen opció kikapcsolása. A funkció kikapcsolásával kapcsolatban az NBSZ NKI weboldalán itt olvashat bővebb információkat.
