{"id":14097,"date":"2025-08-26T13:30:38","date_gmt":"2025-08-26T13:30:38","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/08\/26\/anatsa-die-schleichende-bedrohung-im-google-play-store-eine-alarmierende-entwicklung-der-malware\/"},"modified":"2025-08-26T13:30:38","modified_gmt":"2025-08-26T13:30:38","slug":"anatsa-die-schleichende-bedrohung-im-google-play-store-eine-alarmierende-entwicklung-der-malware","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=14097","title":{"rendered":"Anatsa: Die schleichende Bedrohung im Google Play Store \u2013 Eine alarmierende Entwicklung der Malware"},"content":{"rendered":"<p>Die IT-Sicherheitsforscher von Zscalers ThreadLabz beobachten den Google Play Store genau und analysieren dabei vor allem die Verbreitung sch\u00e4dlicher Anwendungen, mit einem besonderen Fokus auf die Malware Anatsa, auch bekannt als Teabot. Erstmals entdeckt im Jahr 2020, hat sich diese Bedrohung seitdem enorm weiterentwickelt. Zscaler beschreibt in ihrer Analyse, wie Anatsa urspr\u00fcnglich als Banking-Trojaner agierte, der Zugangsdaten stehlen, Keylogging betreiben und Betrugshandlungen durchf\u00fchren konnte. Die aktuelle Form hingegen kann ganze 831 Finanzinstitutionen weltweit angreifen, darunter neu hinzugekommene Institute in Deutschland und S\u00fcdkorea sowie Kryptom\u00fcnzen-Plattformen. Um die Auslieferung des b\u00f6sartigen Codes zu optimieren, haben die Entwickler Anatsa vereinfacht, indem sie das dynamische Laden von Dalvik-Executable-Payloads (DEX) aus dem Netz durch die direkte Installation des Anatsa-Codes ersetzt haben. Dadurch umgeht die Malware die Erkennungsmechanismen im Play Store und kann Ger\u00e4te erfolgreich infizieren. Ein entscheidender Faktor in diesem Prozess ist die Manipulation von Archivstrukturen. Zscaler identifizierte die Verwendung eines defekten Archivs, das eine DEX-Datei versteckt, die erst zur Laufzeit aktiviert wird. Standard-ZIP-Tools k\u00f6nnen aufgrund dieses Defekts die Datei nicht analysieren, wodurch Anatsa unerkannt bleibt. Um Zugangsdaten zu stehlen, zeigt Anatsa gef\u00e4lschte Login-Seiten an, die vom Command-and-Control-Server heruntergeladen werden und ma\u00dfgeschneidert auf die Finanzinstitute der jeweiligen Applikation zugeschnitten sind. Das Zscaler-Team identifizierte vier wichtige Indikatoren (IOCs) f\u00fcr eine Infektion mit Anatsa. Eine vollst\u00e4ndige Liste der 77 betroffenen Apps wurde allerdings nicht ver\u00f6ffentlicht, da diese nach Meldung an Google offenbar nicht mehr im Play Store verf\u00fcgbar sind und durch Google Play Protect automatisch von Smartphones im Google-Kosmos entfernt wurden. Im vergangenen Jahr hatte Zscaler bereits einen Lagebericht ver\u00f6ffentlicht, in dem das Auffinden von \u00fcber 200 b\u00f6sartigen Apps im Google Play Store vermeldet wurde. Diese kamen jedoch lediglich auf 8 Millionen Installationen. Die aktuelle Entwicklung zeigt eine mehr als verdoppelte Zahl an Installationen und unterstreicht die zunehmende Verbreitung und Bedrohlichkeit dieser Malware im Android-\u00d6kosystem.<\/p>\n<p>Schlagw\u00f6rter: Anatsa + Google Play Store + ThreadLabz<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die IT-Sicherheitsforscher von Zscalers ThreadLabz beobachten den Google Play Store genau und analysieren dabei vor allem die Verbreitung sch\u00e4dlicher Anwendungen, mit einem besonderen Fokus auf die Malware Anatsa, auch bekannt als Teabot. Erstmals entdeckt im Jahr 2020, hat sich diese Bedrohung seitdem enorm weiterentwickelt. Zscaler beschreibt in ihrer Analyse, wie&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":14096,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14097","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14097","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14097"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14097\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/14096"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14097"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14097"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14097"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}