Trojan bancário Anatsa (TeaBot) retorna com campanha na Google Play
Pesquisadores alertam que o trojan bancário conhecido como Anatsa, também chamado de Teabot ou Toddler, voltou a atacar dispositivos móveis por meio de aplicativos maliciosos alojados na Google Play. A nova campanha reativa a ameaça que estava ativa desde 2020, direcionando-se a clientes de bancos nos EUA e no Canadá.
Funcionamento do trojan bancário
Uma vez instalado, o malware executa as seguintes ações:
-
Monitora notificações – Captura códigos de autenticação 2FA (como SMS de confirmação bancária).
-
Registra toques na tela (keylogging) – Rouba senhas digitadas.
-
Injeta telas falsas – Substitui interfaces de bancos legítimos por páginas de phishing.
-
Realiza transações fraudulentas – Usa as credenciais roubadas para transferir fundos.
Bancos e aplicativos alvo
O Trojan tem como principal alvo:
-
Aplicativos de bancos brasileiros (como Itaú, Bradesco, Caixa).
-
Carteiras digitais (PicPay, Mercado Pago).
-
Plataformas de investimento (Rico, XP).
Funcionamento do golpe: manutenção falsa para enganar o usuário
O vetor de ataque consiste em um alerta fraudulento de “manutenção” que induz o usuário a instalar um aplicativo aparentemente legítimo. Após a instalação, o trojan solicita permissões abusivas via serviços de acessibilidade do Android para se camuflar e obter controle do sistema sem levantar suspeitas.
Coleta de dados bancários e credenciais: ataque em camadas
Uma vez instalado, o malware monitora notificações, captura credenciais bancárias e pode até burlar autenticação de múltiplos fatores (MFA), executando transações ou transmissões ocultas de dados sensíveis. O foco é claro: roubo de informações financeiras, colocando em risco a segurança das contas dos usuários.
Distribuição por meio da Play Store: alto alcance e perigo
A utilização da Google Play como canal de distribuição amplia significativamente o alcance do ataque. Apesar dos mecanismos de detecção do Google, as variantes do Anatsa se mantêm ativas por períodos antes de serem removidas, conseguindo enganar milhares de usuários com aplicativos disfarçados de manutenção ou outras utilidades.
Histórico persistente de ameaças móveis bancárias
Essa não é a primeira investida do trojan Anatsa. Já era ativo desde 2020, voltando a atacar de tempos em tempos em campanhas direcionadas. A reincidência demonstra a capacidade dos criminosos em adaptar rapidamente a engenharia de disfarces para burlar sistemas de segurança da loja oficial.
Recomendações de segurança para os usuários
Para se proteger, a orientação é clara:
-
Não instale apps suspeitos, mesmo vindos da Play Store;
-
Desconfie de solicitações de permissões de acessibilidade;
-
Use antivírus móvel confiável;
-
Monitore movimentações bancárias e ative notificações para transações;
-
Em caso de dúvida, peça orientação ao gerente de sua instituição financeira.
Conclusão: vigilância contínua é essencial
A campanha atual do trojan Anatsa destaca que nem sempre baixar um app na loja oficial é sinônimo de segurança. A engenharia social combinada com permissões abusivas continua sendo a porta de entrada de malwares. Para o setor de segurança cibernética, é fundamental reforçar a conscientização do usuário, incorporar soluções de detecção em endpoints móveis e insistir em controles rígidos de quem consegue ativar permissões sensíveis nos dispositivos.
Este caso mostra que mesmo a loja oficial do Google não está 100% segura, e criminosos estão combinando infecção por apps + engenharia social para aumentar o sucesso dos golpes.
Usuários devem redobrar a atenção, enquanto bancos e empresas de segurança precisam evoluir suas defesas contra essas ameaças híbridas.
