O app “Document Reader – File Manager” no Google Play, do desenvolvedor ISTOQMAH, é um dropper que já acumulou mais de 50 mil downloads e instalou o trojan bancário Anatsa (TeaBot) em segundo plano para roubar credenciais financeiras.
Como o aplicativo malicioso funciona
O aplicativo se apresenta como leitor/gerenciador de documentos (PDF, scanner, gerenciador de arquivos), com interface legítima, para ganhar confiança e notificações sensíveis. Após a instalação, ele contata um servidor remoto, baixa um payload DEX camuflado como “atualização” a partir de https://quantumfilebreak(.)com/txt.txt e, se as verificações de ambiente não detectam análise, carrega o Anatsa sem passar por novos controles da Play Store.
O pacote oferecido nesta campanha é com.quantumrealm.nexdev.quarkfilerealm_filedoctoolcom instalador MD5 98af36a2ef0b8f87076d1ff2f7dc9585 e carga útil MD5 da5e24b1a97faeacf7fb97dbb3a585afse comunicando com C2s em 185.215.113(.)108:85, 193.24.123(.)18:85 e 162.252.173(.)37:85. Se as verificações falharem (por exemplo, em sandbox), o aplicativo apenas exibe um gerenciador de arquivos falsos para manter a aparência de normalidade.
O que o Anatsa faz
Anatsa/TeaBot é um malware bancário Android ativo desde 2020, capaz de keylogging, sobreposição de telas (overlays) e transações fraudulentas diretamente em aplicativos financeiros e de criptomoedas. As variantes atuais miram mais de 800 instituições em vários países (incluindo Alemanha e Coreia do Sul) e usam DES em tempo de execução para descriptografar strings, verificação de modelo de dispositivo para evitar emuladores e ZIPs malformados com DEX oculto para driblar análise estática.
Depois que o dropper ativou o trojan, esta solicitação de permissões de acessibilidade e outras perigos, como SYSTEM_ALERT_WINDOWleitura de SMS e intenções em tela cheia, permitindo sobrepor páginas falsas sobre aplicativos bancários detectados no dispositivo. Assim, o usuário vê telas de login idênticas aos originais e credenciais de entrega e códigos 2FA diretamente ao operador.
Recomendações para usuários e equipes de segurança
- Remove imediatamente o aplicativo “Document Reader – File Manager”/
com.quantumrealm.nexdev.quarkfilerealm_filedoctoolse estiver instalado e, se possível, redefinir o dispositivo após backup seguro. - Revogue as permissões de acessibilidade e sobreposição de qualquer aplicativo suspeito e verifique periodicamente a lista de aplicativos com esses privilégios.
- Monitore acessos bancários recentes e altere senhas/ativar 2FA em aplicativos financeiros, além de avisar o banco em caso de movimentações estranhas.
- Em ambientes corporativos, use IOCs (nome do pacote, hashes, domínio
quantumfilebreak(.)comC2s e URLs) em EDR/MDM, proxies e firewalls para detecção e bloqueio.
