وفقًا لـ BGR ، نشأت هذه التطبيقات الضارة من برنامج ضار يسمى Anatsa (المعروف أيضًا باسم TeaBot)، وهو برنامج ضار مصرفي خطير بشكل خاص يبدو غير ضار عندما يقوم المستخدمون بتثبيته لأول مرة ولكن بعد ذلك يقوم بتنزيل التعليمات البرمجية الضارة أو خوادم الأوامر والتحكم (C2) المقنعة في شكل تحديثات التطبيقات. يتيح هذا للبرامج الضارة تجنب اكتشافها على متجر تطبيقات Android.

وبعبارة أخرى، التطبيقات الأصلية لم تكن ضارة. إنهم يخدعون العديد من الأشخاص ليعتقدوا أن الأمر آمن قبل الشروع في تنزيل محتوى ضار متخفي في صورة تحديث تطبيق شرعي. بمجرد نجاح البرامج الضارة في إصابة الجهاز والبدء في التواصل مع خادم C2، فإنها تقوم بفحص جهاز المستخدم للكشف عن أي تطبيقات مصرفية مثبتة.

إذا عثر على أي معلومات، فإنه يرسلها إلى خادم C2، والذي يقوم بعد ذلك بإرسال صفحة تسجيل دخول مزيفة إلى التطبيقات المكتشفة. إذا تعرض المستخدم لهذه الخدعة وقام بإدخال بيانات اعتماد تسجيل الدخول الخاصة به، فسيتم إرسال هذه البيانات مرة أخرى إلى الخادم، حيث يمكن للمتسللين استخدامها لتسجيل الدخول إلى تطبيق الخدمات المصرفية الخاص بالضحية وسرقة أمواله.

تتضمن التطبيقات التي اكتشفها Zscaler على أنها مصابة بفيروس Anatsa تطبيقين هما PDF Reader & File Manager وQR Reader & File Manager. ويقول الباحثون إن Anatsa تستهدف في المقام الأول التطبيقات من المؤسسات المالية في المملكة المتحدة، مع وجود ضحايا أيضًا في الولايات المتحدة وألمانيا وإسبانيا وفنلندا وكوريا الجنوبية وسنغافورة. ومع ذلك، ينصح الخبراء المستخدمين بالحذر من المخاطر أينما كانوا يعيشون.

وفي حين لم يشارك الباحثون هويات تطبيقات Android المصابة بالبرامج الضارة على متجر Google Play، فإن كلا التطبيقين المشتركين في المثال أعلاه لم يعودا متاحين. ربما قام Zscaler بتنبيه Google بشأن التطبيقات الأخرى.