2025年、8月ZscalerのThreatLabzが、Android向けバンキング型マルウェア「Anatsa(別名:TeaBot)」の最新動向と、Google Play上で見つかった悪性アプリの大規模流通を報告しました。今回の調査では、Anatsaの標的が世界831の金融・暗号資産アプリに拡大。
さらに、同社がGoogleに報告した77本の悪性アプリが合計1,900万回以上インストールされていたことが判明し、その後Googleは当該アプリを削除しました。
なお、すでに端末に残存している場合はユーザー側でセキュリティスキャンとアプリ削除の対応が必要です。
悪性アプリの概要
Android向けバンキング型マルウェア「Anatsa(別名:TeaBot)」は少なくとも2020年から活動するAndroid向けの銀行詐欺マルウェアで、資格情報の窃取、キーロギング、不正送金の補助などを行います。
直近のキャンペーンでは、Google Playに「Document Reader – File Manager」など文書閲覧アプリを装う“ドロッパー”を公開しています。

画像:ThreatLabz
インストール後に“更新”を名目に本体ペイロードを落とし込む手口で審査をすり抜け、端末上で権限を奪取してフィッシング画面(オーバーレイ)やキーロガーを稼働させます。
Google Playで1900万超インストール
ThreatLabzはAnatsaの追跡と並行し、77本の悪性アプリ(合計1,900万インストール超)をGoogleに報告。
多くはツール/パーソナライズ系を装い、カテゴリ別では“ツール・パーソナライズ・エンタメ・写真・デザイン”の順にリスクが高い傾向でした。
内訳は以下が目立ちます。

画像:ThreatLabz
-
アドウェア:全体の約3分の2
-
Joker:約4分の1で確認(SMS読取・通話・連絡先窃取・有料課金登録など)
-
Harly:正規機能の裏に隠したペイロードで審査回避
-
Maskware(擬装型):表向きは機能するが裏で情報窃取・追加マルウェア投下
報告後、当該アプリはPlayストアから削除されましたが、すでに端末に残存している場合はユーザー側の対応が必要です。
参照








