Anatsa-Trojaner infiltriert Google Play Store

Eine neue Welle des gefährlichen Banking-Trojaners „Anatsa“ hat den Google Play Store überwunden und Zehntausende Geräte infiziert. Sicherheitsforscher warnen vor gezielten Angriffen auf Bankkunden in Deutschland, Österreich und der Schweiz.

Schadsoftware tarnt sich als PDF-Reader

Der Trojaner schlüpft in die Maske einer harmlosen App mit Namen wie „PDF Reader“ oder „Document Viewer“. Nach Angaben des Sicherheitsunternehmens Zscaler ThreatLabz gelang es der Software, über 50.000 Installationen zu erreichen, bevor sie als bösartig enttarnt wurde. Das Vorgehen ist raffiniert: Nutzer laden zunächst eine funktionierende App herunter, die dann ein notwendiges „Add-on“ oder „Update“ anbietet. In diesem zweiten Schritt wird die eigentliche Schadsoftware nachgeladen.

Einmal aktiv, fordert Anatsa umfassende Zugriffsrechte für Barrierefreiheitsdienste (Accessibility Services). Diese Berechtigung, ein klares Warnsignal für die Compliance, ermöglicht es dem Trojaner, Tastatureingaben abzugreifen, gefälschte Login-Masken über echte Banking-Apps zu legen und SMS-Codes für die Zwei-Faktor-Authentifizierung abzufangen. Die Methode ist direkter und schwerer zu erkennen als bei früheren Versionen.

Gezielte Angriffe auf Bankkunden im DACH-Raum

Die aktuelle Kampagne zielt speziell auf Kunden großer Finanzinstitute in Deutschland, Österreich, der Schweiz sowie im Vereinigten Königreich und den USA ab. Das Programm erkennt und attackiert laut Analyse fast 600 verschiedene Banking-Apps weltweit, mit einem Schwerpunkt auf europäischen Banken.

Banking-Trojaner wie Anatsa zeigen, wie verwundbar mobile Endgeräte für Unternehmen geworden sind — vor allem, wenn Produktivitäts- oder PDF-Apps als Köder dienen. Ein kostenloser Cyber‑Security-Report fasst aktuelle Awareness-Trends, neue regulatorische Anforderungen (inkl. KI‑Regulierung) und praktikable Schutzmaßnahmen zusammen: Zero‑Trust-Ansätze für Mobilgeräte, Mobile Threat Defense (MTD) sowie konkrete Schulungs- und Hardening‑Maßnahmen für Mitarbeiter. Ideal für IT‑Leiter und Compliance‑Verantwortliche, die mobile Risiken schnell und praxisnah minimieren wollen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Öffnet ein Nutzer eine betroffene App, blendet Anatsa eine täuschend echte Fälschung des Login-Bildschirms ein. Die eingegebenen Zugangsdaten werden sofort an Server der Angreifer übertragen. Die Cyberkriminellen können dann sogar direkt vom infizierten Gerät aus betrügerische Transaktionen initiieren – und umgehen so Betrugserkennungssysteme, die auf Geräte-Identifikation setzen.

Für Unternehmen stellt dies ein erhebliches Compliance-Risiko dar. Wird die schadhafte App auf einem Firmengerät installiert, das für Geschäftsbanking genutzt wird, sind nicht nur finanzielle Assets, sondern auch sensible Unternehmensdaten bedroht. Dies verletzt die DSGVO und interne Datenschutzrichtlinien.

App-Store-Sicherheit allein reicht nicht aus

Der Vorfall unterstreicht eine anhaltende Schwachstelle im mobilen Ökosystem, die Compliance-Strategien erschwert. Trotz verstärkter Sicherheitsmaßnahmen von Google, wie der „App Defense Alliance“, finden kriminelle Akteure immer wieder Lücken.

Sicherheitsexperten raten daher, sich nicht allein auf die Prüfung durch offizielle App-Stores zu verlassen. Der Erfolg von Anatsa zeigt: Auch vermeintlich vertrauenswürdige Quellen können hochriskante Bedrohungen enthalten. Organisationen sollten auf Mobile Threat Defense (MTD)-Lösungen setzen, die verhaltensbasierte Anomalien erkennen – etwa wenn eine App unnötige Barrierefreiheits-Rechte anfordert.

Zudem nutzt Anatsa das Vertrauen der Nutzer in Produktivitäts-Apps aus. Sicherheitsschulungen für Mitarbeiter müssen daher explizit davor warnen, solchen Anwendungen weitreichende Berechtigungen zu erteilen – ein Punkt, der in Standard-Schulungen oft vernachlässigt wird.

Ein wiederkehrender und anpassungsfähiger Gegner

Anatsa, auch als TeaBot bekannt, treibt seit 2021 sein Unwesen. Seine Langlebigkeit und die wiederholten Erfolge bei der Infiltration des Play Stores heben ihn von kurzlebigerer Malware ab. In früheren Kampagnen wechselten die Betreiber geschickt das Erscheinungsbild der Köder-Apps, von QR-Code-Scannern bis zu Fitness-Trackern.

Das anhaltende Spiel zwischen Malware-Autoren und Sicherheitsteams verschärft sich. Obwohl Google Play Protect bekannte schädliche Apps automatisch löscht, bleibt ein zeitliches Fenster von oft mehreren Wochen zwischen Veröffentlichung und Erkennung – genug für tausende Infektionen. Für den Finanzsektor bedeutet dies eine Hinwendung zu „Zero Trust“-Architekturen für mobile Geräte, bei der keine App allein aufgrund ihrer Quelle vertrauenswürdig ist.

Ausblick: KI und bessere Tarnung

Sicherheitsfirmen rechnen damit, dass Banking-Trojaner künftig vermehrt KI-gestützte Verschleierungstechniken nutzen werden, um ihren Code vor Analyse-Tools zu verstecken. Zscaler warnt, dass zukünftige Versionen von Anatsa fortschrittlichere Social-Engineering-Methoden in den Köder-Apps integrieren könnten, etwa Chatbots, die Nutzer zur Erteilung gefährlicher Berechtigungen verleiten.

Für das erste Quartal 2026 wird IT-Abteilungen dringend geraten, installierte Apps auf allen verwalteten Android-Geräten zu überprüfen. Besonderes Augenmerk sollte auf Dokumentenlesern oder PDF-Tools liegen, die seit Ende Januar installiert wurden. Unverifizierte Produktivitäts-Apps sollten entfernt und die vergebenen Barrierefreiheits-Rechte überprüft werden. Unternehmen im DACH-Raum ist besondere Wachsamkeit angeraten.

PS: Sie möchten direkt wissen, welche konkreten Schritte Ihre IT-Abteilung jetzt sofort umsetzen sollte? Der Gratis‑Cyber‑Security‑Leitfaden liefert eine umsetzbare Checkliste mit Sofortmaßnahmen gegen Phishing und Banking‑Trojaner, Empfehlungen zu Mobile Threat Defense, sowie Vorlagen für Mitarbeiterschulungen und Incident‑Response‑Prozesse — perfekt zur schnellen Implementierung nach der Analyse von Anatsa. Gratis Cyber‑Security‑Leitfaden anfordern