Anatsa (TeaBot) se renforce : nouvelles campagnes via Google Play ciblant 831 apps financières

Source : Zscaler ThreatLabz (blog, 21 août 2025). Le billet analyse les dernières évolutions du trojan bancaire Android Anatsa/TeaBot, ses chaînes de distribution via Google Play, ses capacités d’évasion et les indicateurs techniques associés.

• Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes récentes étendent la cible à plus de 831 institutions financières dans le monde, ajoutant notamment l’Allemagne et la Corée du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dépassé 50 000 installations.

• Côté distribution, Anatsa recourt à des droppers publiés sur le Google Play Store. Après installation, l’app leurre télécharge silencieusement la charge utile depuis son C2, mais n’active l’infection qu’après des vérifications anti-analyse (émulation, modèle d’appareil, disponibilité C2). En cas d’échec, elle affiche un explorateur de fichiers pour paraître légitime. Les acteurs alternent nom de package et hash d’installation pour brouiller la détection.

• Sur le plan technique, la variante récente remplace le chargement dynamique de DEX distants par une installation directe du payload, chiffre les chaînes à l’exécution via DES (clé générée dynamiquement), et introduit des restrictions spécifiques à l’appareil. Le DEX est caché dans un JSON, lâché puis supprimé en runtime. L’APK embarque une archive ZIP malformée (flags de compression/chiffrement invalides) pour déjouer l’analyse statique et s’appuie sur un obfuscateur APK ZIP. Le cœur embarque un keylogger mis à jour. Après obtention des droits d’Accessibilité, le malware active automatiquement des autorisations comme SYSTEM_ALERT_WINDOW, READ_SMS, RECEIVE_SMS, USE_FULL_SCREEN_INTENT. Les échanges C2 sont XOR 1 octet (66). Le vol d’identifiants se fait via des pages de phishing (overlays) téléchargées selon les apps bancaires détectées (ex. contenu « Scheduled maintenance… » pour Robinhood).

• Tendances Google Play : en parallèle d’Anatsa, ThreatLabz a signalé 77 apps malveillantes (plusieurs familles) totalisant >19 millions d’installations. Montée nette des adwares (aux côtés de Joker, Harly, trojans bancaires) et recul de familles telles que Facestealer et Coper. Zscaler indique des détections sous les noms : Android.Banker.Anatsa, AND/Agent5.AE, AndroidOS/Agent.BOI. Il s’agit d’une publication de recherche destinée à documenter les capacités et la diffusion d’Anatsa ainsi que les tendances d’abus du Play Store.

IOCs

• C2 observés (extraits de la config et du tableau IOC) :
  • http://185.215.113.108:85/api/
  • http://193.24.123.18:85/api/
  • http://162.252.173.37:85/api/
  • hxxps[://]saurkanot[.]com/policy[.]html
  • hxxps[://]saurkanot[.]com/privacy[.]html
  • hxxps[://]docsresearchgroup[.]com/
  • hxxp[://]37[.]235[.]54[.]59/
  • hxxp[://]91[.]215[.]85[.]55:85
  • hxxp[://]185[.]215[.]113[.]108:85
• Packages et hachages (MD5) :
  • com.synexa.fileops.fileedge_organizerviewer — 5f85261cf55ed10e73c9b68128092e70
  • com.trend.bid — 9b6e5703bb0dc0ce8aa98281d0821642
  • com.applicationsresearchgroup.docxploremanagerviewer — a4973b21e77726a88aca1b57af70cc0a
  • com.mvivhzsmq.gqrzqsubj — ed8ea4dc43da437f81bef8d5dc688bdb

TTPs observés

• Distribution: dropper via Google Play (leurres « lecteur de documents »), téléchargement silencieux de payload, installation directe du binaire Anatsa.
• Anti-analyse/évasion: DES runtime pour déchiffrer les chaînes (clé dynamique), vérification d’émulation et modèles d’appareils, restrictions par appareil, mutation du nom de package et du hash, DEX caché dans JSON puis supprimé, APK ZIP malformé, obfuscateur APK ZIP.
• Droits/abus système: Accessibilité pour auto-accorder les permissions; autorisations clés: SYSTEM_ALERT_WINDOW, READ_SMS, RECEIVE_SMS, USE_FULL_SCREEN_INTENT.
• C2/communication: XOR 0x42 (66 décimal) pour chiffrer les échanges, configuration JSON avec versions d’injects et keylogger.
• Vol de données: overlays (pages de connexion bancaires factices) et keylogging ciblant >831 apps, y compris banques et crypto.

🧠 TTPs et IOCs détectés

TTP

[‘Distribution: dropper via Google Play (leurres « lecteur de documents »), téléchargement silencieux de payload, installation directe du binaire Anatsa.’, ‘Anti-analyse/évasion: DES runtime pour déchiffrer les chaînes (clé dynamique), vérification d’émulation et modèles d’appareils, restrictions par appareil, mutation du nom de package et du hash, DEX caché dans JSON puis supprimé, APK ZIP malformé, obfuscateur APK ZIP.’, ‘Droits/abus système: Accessibilité pour auto-accorder les permissions; autorisations clés: SYSTEM_ALERT_WINDOW, READ_SMS, RECEIVE_SMS, USE_FULL_SCREEN_INTENT.’, ‘C2/communication: XOR 0x42 (66 décimal) pour chiffrer les échanges, configuration JSON avec versions d’injects et keylogger.’, ‘Vol de données: overlays (pages de connexion bancaires factices) et keylogging ciblant >831 apps, y compris banques et crypto.’]

IOC

{‘hashes’: [‘5f85261cf55ed10e73c9b68128092e70’, ‘9b6e5703bb0dc0ce8aa98281d0821642’, ‘a4973b21e77726a88aca1b57af70cc0a’, ’ed8ea4dc43da437f81bef8d5dc688bdb’], ‘domains’: [‘saurkanot.com’, ‘docsresearchgroup.com’], ‘ips’: [‘185.215.113.108’, ‘193.24.123.18’, ‘162.252.173.37’, ‘37.235.54.59’, ‘91.215.85.55’]}

---

🔗 Source originale : https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa