Anatsa-Trojaner tarnt sich als PDF-App im Play Store

Eine neue Welle des Banking-Trojaners Anatsa bedroht Android-Nutzer weltweit. Getarnt als PDF-Reader-App namens „StellarGrid“ wurde die Schadsoftware über 50.000 Mal aus dem Google Play Store heruntergeladen. Ihr Ziel: Bankdaten ausspähen und Überweisungen manipulieren.

So trickst der „Dropper“ aus

Die App „StellarGrid“ präsentierte sich im Play Store als harmloser Dokumenten-Viewer. Nach der Installation funktionierte sie zunächst wie erwartet. Im Hintergrund forderte sie jedoch Zugriff auf die Android-Bedienungshilfen (Accessibility Services) an. Diese Funktion gewährt einer App nahezu vollständige Kontrolle über das Gerät – eigentlich gedacht für Nutzer mit Behinderungen.

Banking‑Trojaner wie Anatsa zeigen, wie schnell mobile Nutzer und sogar Unternehmen Opfer von Phishing und manipulierten Apps werden können. Das kostenlose Anti-Phishing-Paket bietet eine klare 4‑Schritte-Anleitung, beschreibt gängige Taktiken (gefälschte Login‑Seiten, manipulierte Apps, SMS‑Abfangmethoden) und nennt sofort umsetzbare Abwehrmaßnahmen. Enthalten sind praxisnahe Checklisten für Smartphones, Hinweise zum Schutz von Banking-Apps und Strategien zur Erkennung von CEO‑Fraud und ATS‑Angriffen. Gratis Anti-Phishing-Paket herunterladen

Sobald die Berechtigung erteilt war, lud die App den eigentlichen Anatsa-Trojaner von einem externen Server nach. Diese Methode umgeht oft die automatisierten Sicherheitschecks von Google.

Das passiert nach der Infektion

Anatsa wartet, bis der Nutzer eine Banking-App öffnet. Dann legt er eine täuschend echte, gefälschte Login-Seite darüber. Eingegebene Zugangsdaten landen direkt bei den Cyberkriminellen.

Die Schadsoftware kann zudem:
* Tastatureingaben aufzeichnen (Keylogging)
* SMS abfangen, um Zwei-Faktor-Codes zu stehlen
* Eigenständig Überweisungen tätigen (ATS-Angriffe)
* Den Zugriff auf Banking-Apps mit gefälschten Wartungsmeldungen blockieren

Globale Angriffe auf über 830 Bank-Apps

Während frühere Anatsa-Kampagnen sich auf Europa konzentrierten, hat der Trojaner seine Ziel-Liste massiv erweitert. Nun stehen auch Bankkunden in Nordamerika, Deutschland, Spanien und Südkorea im Visier. Die Malware zielt auf über 830 verschiedene Finanz-Apps ab – von klassischen Banken bis zu Krypto-Plattformen.

Sicherheitsforscher beobachten, dass die Entwickler die Malware stetig verbessern. Neue Versionen nutzen ausgefeilte Verschleierungstechniken, um Entdeckung zu vermeiden.

Wie können sich Nutzer schützen?

Der Fall zeigt: Auch offizielle App-Stores bieten keinen absoluten Schutz. Experten raten zu diesen Maßnahmen:

• App sofort deinstallieren: Haben Sie „StellarGrid“ installiert, entfernen Sie sie umgehend.
• Berechtigungen prüfen: Seien Sie extrem misstrauisch, wenn ein einfaches Tool wie ein PDF-Reader Zugriff auf die Bedienungshilfen will.
• Sicherheits-Apps nutzen: Aktivieren Sie Google Play Protect und erwägen Sie eine mobile Antiviren-Lösung.
• Zwei-Faktor-Authentifizierung aktivieren: Schützen Sie Ihre Bankkonten mit starker 2FA.
• Vorsicht bei Updates: Seien Sie skeptisch, wenn eine App kurz nach Installation ein umfangreiches „Add-on“ aus unbekannter Quelle nachladen will.

Die Entwickler von Anatsa werden ihre Taktik weiter verfeinern. Für Android-Nutzer bleibt Wachsamkeit der beste Schutz.