· Jonathan Izquierdo · Noticias seguridad ·
Anatsa/TeaBot en Google Play: 831 bancos atacados
El troyano Anatsa infiltra Google Play con apps falsas y 19M de descargas. Ataca 831 bancos, incluidos BBVA, CaixaBank y Santander. Análisis forense completo.
77 apps maliciosas. 19 millones de descargas. 831 entidades financieras atacadas en todo el mundo. El troyano bancario Anatsa, también conocido como TeaBot, se ha convertido en la amenaza más sofisticada que ha logrado infiltrar Google Play Store de forma recurrente entre 2024 y 2026, evadiendo sistemáticamente los controles de Google Play Protect (Zscaler ThreatLabz, agosto 2025). Su objetivo: robar credenciales bancarias mediante ataques overlay y ejecutar transacciones fraudulentas en tiempo real desde el propio dispositivo de la víctima.
España figura entre los países prioritarios de Anatsa desde 2023. La variante más reciente apunta a las apps de los principales bancos españoles: BBVA, CaixaBank, Santander, Sabadell, ING, Bankinter, Unicaja, Kutxabank e Ibercaja, entre otros (ThreatFabric, febrero 2024). Lo más alarmante: las apps que distribuyen Anatsa no se descargan desde foros oscuros, sino directamente desde Google Play, disfrazadas de lectores PDF, gestores de archivos y escáneres QR que alcanzan los primeros puestos de las categorías “Top Free”.
Como perito informático forense especializado en análisis de malware, este artículo desglosa cómo funciona Anatsa, por qué Google Play no lo detecta, qué bancos españoles están en riesgo y qué hacer si sospechas que tu dispositivo está comprometido.
Resumen ejecutivo (TL;DR)
| Dato | Detalle |
|---|---|
| Nombre | Anatsa (también TeaBot, Toddler) |
| Activo desde | 2020; campañas masivas 2023-2026 |
| Apps maliciosas | 77 apps identificadas y eliminadas de Google Play (Security Affairs) |
| Descargas totales | Más de 19 millones entre todas las apps dropper |
| Bancos objetivo | 831 entidades financieras a nivel mundial, más de 150 apps financieras nuevas en la última variante |
| Países prioritarios | España, Reino Unido, Alemania, Eslovaquia, Eslovenia, Chequia, Corea del Sur |
| Técnica principal | Dropper en Google Play + descarga diferida del payload + overlay attack |
| Riesgo para ti | Robo de credenciales bancarias, transacciones fraudulentas automatizadas (DTO) |
Qué es Anatsa/TeaBot y por qué es diferente
Anatsa no es un troyano bancario más. Es una de las pocas familias de malware Android que ha conseguido distribuirse de forma reiterada a través de la tienda oficial de Google, lo que le diferencia radicalmente de troyanos que se propagan por APKs maliciosos compartidos en WhatsApp o Telegram.
Descubierto inicialmente por Cleafy en 2020, Anatsa ha evolucionado en múltiples oleadas:
| Período | Hito | Alcance |
|---|---|---|
| 2020-2021 | Primera detección (Cleafy). Distribución vía SMS phishing | Bancos italianos y españoles |
| 2023 (nov) | Resurge con droppers en Google Play (ThreatFabric) | UK, Alemania, España, Chequia |
| 2024 (feb) | 5 oleadas con más de 100.000 instalaciones vía 5 droppers | Europa: más de 650 entidades financieras |
| 2025 (jul) | App “Document Viewer” alcanza 90.000 descargas y puesto 4 en Top Free (The Hacker News) | EEUU, Canadá |
| 2025 (ago) | Zscaler identifica 77 apps con 19M descargas (Zscaler ThreatLabz) | 831 entidades en todo el mundo |
Lo que hace a Anatsa especialmente peligroso es la combinación de tres factores: distribución desde una fuente que los usuarios consideran segura (Google Play), técnicas de evasión que engañan a los sistemas automatizados de Google, y capacidades de Device-Takeover Fraud (DTO) que permiten a los atacantes ejecutar transferencias directamente desde el móvil de la víctima.
Cómo infiltra Google Play: la técnica dropper
El éxito de Anatsa se basa en un modelo operativo meticulosamente diseñado que explota la confianza en Google Play y las limitaciones de Google Play Protect.
Publicación de app legítima: Los atacantes crean una cuenta de desarrollador en Google Play y publican una app funcional, generalmente un lector de PDF, gestor de archivos o escáner QR. La app pasa todos los controles de seguridad porque, en ese momento, no contiene código malicioso
Acumulación de descargas y reputación: Durante 4-6 semanas, la app funciona correctamente. Los atacantes incluso invierten en posicionamiento ASO (App Store Optimization) para que aparezca en las listas “Top Free”. El caso más llamativo: la app “Document Viewer - File Reader” alcanzó el puesto 4 en la categoría Top Free - Herramientas el 29 de junio de 2025 (The Hacker News)
Actualización maliciosa: Cuando la app tiene miles o decenas de miles de usuarios, los atacantes despliegan una actualización que inyecta el código dropper. Este código no es el malware final; es un cargador que descargará Anatsa posteriormente
Descarga del payload Anatsa: El dropper contacta con un servidor C2 (comando y control) y descarga el payload real de Anatsa disfrazado como una “actualización de la app”. El payload se oculta dentro de un archivo JSON, se ejecuta en tiempo real y se elimina inmediatamente del almacenamiento para dificultar la detección
Solicitud de Accessibility Services: Anatsa solicita permisos de Accessibility Services con un pretexto engañoso (por ejemplo, “necesario para hibernar apps que consumen batería”). Con estos permisos, el malware puede auto-concederse privilegios críticos:
SYSTEM_ALERT_WINDOW,READ_SMS,RECEIVE_SMSyUSE_FULL_SCREEN_INTENTActivación del robo: Anatsa descarga la lista dinámica de apps bancarias objetivo desde el servidor C2 y comienza a monitorizar qué apps abre el usuario. Cuando detecta una app bancaria, despliega el overlay falso
Google Play Protect no es suficiente
Las apps dropper de Anatsa pasan los controles de Google Play Protect porque son legítimas en el momento de la revisión. El código malicioso se introduce semanas después, cuando la app ya tiene miles de descargas y buenas valoraciones. Zscaler ha identificado 77 apps maliciosas con más de 19 millones de descargas que utilizaban esta técnica (Zscaler ThreatLabz, Malwarebytes).
Apps dropper identificadas
Estos son algunos ejemplos de apps que distribuyeron Anatsa en Google Play antes de ser eliminadas:
| App (nombre visible) | Desarrollador | Descargas | Período |
|---|---|---|---|
| Document Viewer - File Reader | Hybrid Cars Simulator, Drift & Racing | 90.000+ | Mayo-Jul 2025 |
| PDF Reader & File Manager | Desarrollador anónimo | 50.000+ | Feb 2024 |
| QR Reader & File Manager | Desarrollador anónimo | 50.000+ | Feb 2024 |
| Phone Cleaner - File Explorer | Desarrollador anónimo | 50.000+ | Nov 2023 |
| PDF Reader - Viewer & Editor | Desarrollador anónimo | 10.000+ | Nov 2023 |
Fuentes: Zscaler ThreatLabz, The Hacker News, BleepingComputer.
Técnicas anti-análisis de la última variante
La versión de Anatsa documentada por Zscaler en agosto de 2025 incluye técnicas avanzadas de evasión:
| Técnica | Descripción | Propósito |
|---|---|---|
| Cifrado DES dinámico | Cada cadena de texto se descifra en tiempo de ejecución con una clave DES generada dinámicamente | Resistir análisis estático |
| Verificación de emulador | Comprueba modelo de dispositivo y entorno de ejecución | Evitar sandboxes de análisis |
| ZIP malformado | Cabeceras ZIP con flags de compresión inválidos en el APK | Dificultar desempaquetado por herramientas automáticas |
| DEX oculto en JSON | El payload DEX se esconde dentro de un archivo JSON, se carga en runtime y se borra inmediatamente | Eliminar evidencia del payload |
| Comunicación C2 cifrada | Cifrado XOR de un byte (clave: 66 decimal) para comunicación con servidores C2 | Evadir detección por tráfico de red |
| Rotación de identidad | Nombres de paquete e identificadores cambian periódicamente | Dificultar rastreo y blacklisting |
Fuente: Zscaler ThreatLabz (2025).
Bancos españoles en el punto de mira
España ha sido uno de los países prioritarios de Anatsa desde las primeras campañas europeas documentadas por ThreatFabric en 2023. La variante actual (831 entidades financieras a nivel mundial) incluye overlays diseñados específicamente para las apps móviles de los principales bancos españoles.
| Categoría | Entidades afectadas | Tipo de ataque |
|---|---|---|
| Grandes bancos | BBVA, Santander, CaixaBank, Banco Sabadell | Overlay + keylogging + DTO |
| Banca mediana | Bankinter, ING Direct, Unicaja, Kutxabank, Ibercaja | Overlay + interceptación SMS/OTP |
| Banca online | Openbank, Laboral Kutxa, ABANCA | Overlay + captura de credenciales |
| Otras entidades | BancaMarch, CajaSur, Grupo Caja Rural, Cetelem, Self Bank | Overlay + SMS forwarding |
| Fintech/Crypto | Revolut, N26, Binance, Coinbase | Overlay + captura de semillas/claves |
Fuentes: Teknofilo, Infosecurity Magazine, SecurityOnline.
Cómo funciona el overlay attack
El ataque overlay es la técnica principal de Anatsa para robar credenciales:
- El usuario abre su app bancaria legítima (ej. app BBVA en Android)
- Anatsa detecta la apertura gracias a los permisos de Accessibility Services
- Se superpone una pantalla falsa idéntica a la de login del banco sobre la app real
- El usuario introduce su usuario y contraseña creyendo que está en la app auténtica
- Anatsa captura las credenciales y las envía al servidor C2
- Para el 2FA: intercepta los SMS con códigos OTP o despliega un segundo overlay solicitando el código de verificación
- Device-Takeover Fraud (DTO): con las credenciales y el OTP, Anatsa puede ejecutar transferencias directamente desde el dispositivo infectado, lo que dificulta la detección por los sistemas antifraude del banco (la transacción aparece como legítima desde el móvil habitual del cliente)
Categorías de apps más peligrosas en Google Play
Si tienes instalada alguna de estas categorías de apps de desarrolladores poco conocidos, comprueba inmediatamente los permisos concedidos:
- Lectores de PDF y documentos
- Gestores de archivos y limpiadores
- Escáneres de códigos QR
- Apps de productividad con funciones básicas
Estas son las categorías que Anatsa utiliza sistemáticamente como apps dropper. Una app de lector PDF no necesita permisos de Accessibility Services, acceso a SMS ni superposición sobre otras apps.
Cómo detectar si tu dispositivo está infectado
Señales de alarma
| Señal | Qué indica | Gravedad |
|---|---|---|
| Permisos de accesibilidad activos en apps que no los necesitan (lectores PDF, limpiadores) | Posible dropper de Anatsa con privilegios elevados | Crítica |
| Consumo anómalo de batería sin cambios en el uso habitual | Procesos en segundo plano comunicándose con servidores C2 | Alta |
| SMS que desaparecen o códigos OTP que no llegan | Malware interceptando y eliminando mensajes SMS | Crítica |
| App bancaria muestra “mantenimiento” cuando intentas acceder | Anatsa usa pantallas falsas de mantenimiento para bloquear al usuario mientras ejecuta transacciones | Crítica |
| Nuevas apps instaladas que no recuerdas haber descargado | El dropper puede instalar el payload como app independiente | Alta |
| Movimientos bancarios no reconocidos | DTO ejecutado: el atacante ha realizado transferencias desde tu dispositivo | Crítica |
Verificación rápida (5 minutos)
Revisa permisos de accesibilidad: Ajustes → Accesibilidad → Servicios instalados. Desactiva cualquier servicio que no reconozcas o que pertenezca a apps de utilidad básica (lectores PDF, limpiadores)
Comprueba gestores de SMS: Ajustes → Apps → Apps predeterminadas → SMS. Solo tu app de mensajes nativa debe estar seleccionada
Revisa permisos de superposición: Ajustes → Apps → Acceso especial → Mostrar encima de otras apps. Desactiva las que no necesiten esta función
Ejecuta Google Play Protect: Google Play → Perfil → Play Protect → Analizar. Aunque no es infalible, detecta variantes conocidas
Verifica movimientos bancarios: Accede a tu banca online desde un ordenador o dispositivo diferente (no desde el móvil potencialmente infectado) y revisa transacciones recientes
Análisis forense de infecciones Anatsa
Cuando un cliente me presenta un caso de sospecha de infección por Anatsa, el proceso forense sigue una metodología rigurosa basada en ISO 27037:
Fase 1: Preservación de evidencia
- Aislamiento del dispositivo: modo avión inmediato para cortar comunicación con servidores C2
- Imagen forense completa: adquisición lógica y física del dispositivo con herramientas como Cellebrite UFED o AXIOM
- Hash de verificación: cálculo SHA-256 de la imagen para garantizar integridad en la cadena de custodia
Fase 2: Extracción y análisis del malware
- Identificación del dropper: localización de la app original de Google Play que instaló el payload
- Extracción del APK: recuperación del archivo APK del dropper y del payload de Anatsa
- Ingeniería inversa: decompilación con jadx, apktool y Androguard para analizar el código fuente del malware
- Análisis de comunicaciones C2: extracción de direcciones IP y dominios de los servidores de comando y control (ej. las IPs
185.215.113.108,193.24.123.18y162.252.173.37documentadas por Zscaler) - Descifrado de comunicaciones: aplicación de la clave XOR (byte 66) para descifrar el tráfico capturado con el C2
Fase 3: Timeline de la infección
- Fecha de instalación del dropper original desde Google Play
- Fecha de actualización maliciosa que introdujo el código dropper
- Fecha de descarga del payload de Anatsa
- Momento de concesión de permisos de Accessibility Services
- Timeline de transacciones fraudulentas cruzado con logs bancarios
Fase 4: Informe pericial
El informe documenta técnicamente toda la cadena de ataque, desde la descarga de la app aparentemente legítima hasta las transacciones fraudulentas. Este informe es clave para:
- Reclamaciones bancarias: demostrar que la víctima descargó la app desde Google Play (fuente confiable) y que el fraude fue producto de un malware sofisticado con técnicas anti-detección
- Procedimientos judiciales: aportar evidencia técnica con cadena de custodia para denuncias penales
- Reclamaciones bajo PSD2: la Directiva de Servicios de Pago establece que el banco debe demostrar negligencia grave del cliente; un informe pericial que acredite la sofisticación del ataque refuerza la posición de la víctima
Marco legal aplicable
El uso de troyanos bancarios como Anatsa constituye múltiples delitos tipificados en el Código Penal español:
| Artículo | Delito | Pena | Aplicación a Anatsa |
|---|---|---|---|
| Art. 248-249 CP | Estafa informática | 6 meses - 3 años prisión (más de 400 euros) | Obtención fraudulenta de credenciales y ejecución de transferencias no autorizadas |
| Art. 264 CP | Daños informáticos | 6 meses - 3 años prisión | Instalación no autorizada de malware que altera el funcionamiento del dispositivo |
| Art. 264 bis CP | Interrupción de sistemas informáticos | 6 meses - 3 años prisión | Interposición de overlays sobre apps bancarias, bloqueo de acceso al usuario |
| Art. 197 CP | Descubrimiento y revelación de secretos | 1 - 4 años prisión | Interceptación de SMS, keylogging, captura de credenciales sin consentimiento |
| Art. 197 bis CP | Acceso ilícito a sistemas informáticos | 6 meses - 2 años prisión | Acceso no autorizado al dispositivo móvil y apps bancarias vía permisos fraudulentos |
La víctima puede interponer denuncia penal y, simultáneamente, reclamar al banco la devolución de las cantidades sustraídas bajo el Real Decreto-ley 19/2018 (transposición de la Directiva PSD2), que establece la responsabilidad del proveedor de servicios de pago salvo que demuestre negligencia grave del usuario.
Clave para la reclamación bancaria
El informe pericial forense es determinante en las reclamaciones PSD2: si se demuestra que el malware se descargó desde Google Play (fuente considerada segura por el usuario medio) y que utilizaba técnicas de evasión que impedían su detección por Google Play Protect, resulta difícil argumentar negligencia grave por parte de la víctima. La jurisprudencia española tiende a proteger al consumidor cuando el vector de ataque es técnicamente sofisticado.
Preguntas relacionadas
¿Es seguro descargar apps de Google Play?
Google Play es significativamente más seguro que las fuentes alternativas (APKs de sitios web, enlaces de WhatsApp o Telegram), pero no es infalible. El caso Anatsa demuestra que los atacantes pueden publicar apps legítimas, acumular descargas, y después inyectar código malicioso mediante actualizaciones. La recomendación es: descarga solo apps de desarrolladores conocidos, revisa los permisos solicitados, y desconfía de apps de utilidad básica (lectores PDF, limpiadores) de desarrolladores nuevos o con nombres sospechosos (Zscaler ThreatLabz).
¿Puede Anatsa robar dinero de mi cuenta bancaria sin que me dé cuenta?
Sí. Anatsa implementa Device-Takeover Fraud (DTO): una vez que tiene las credenciales bancarias (vía overlay) y los códigos OTP (vía interceptación SMS o segundo overlay), puede ejecutar transferencias directamente desde tu dispositivo. Algunas variantes muestran pantallas falsas de “mantenimiento” en la app bancaria para evitar que el usuario acceda mientras se ejecutan las transacciones. Además, al operar desde el dispositivo habitual del cliente, los sistemas antifraude del banco tienen más dificultad para detectar la actividad como sospechosa (The Hacker News).
¿Qué debo hacer si creo que mi móvil está infectado con Anatsa?
Actúa inmediatamente: (1) activa el modo avión para cortar la comunicación con los servidores del atacante; (2) accede a tu banca online desde otro dispositivo y revisa movimientos recientes; (3) contacta con tu banco para bloquear la cuenta si detectas transacciones no reconocidas; (4) no desinstales la app sospechosa todavía, ya que destruirías la evidencia forense; (5) contacta con un perito informático forense para realizar una adquisición forense del dispositivo antes de cualquier manipulación. La evidencia preservada con cadena de custodia será fundamental tanto para la denuncia penal como para la reclamación bancaria.
¿Mi banco me devolverá el dinero si fui víctima de Anatsa?
Depende de las circunstancias, pero la normativa PSD2 (Real Decreto-ley 19/2018) establece que el banco debe reembolsar las operaciones no autorizadas salvo que demuestre negligencia grave del usuario. Un informe pericial que acredite que el malware se instaló desde Google Play, que utilizaba técnicas de evasión documentadas por investigadores como Zscaler y ThreatFabric, y que la víctima no podía razonablemente detectar la infección, refuerza considerablemente la posición del afectado. La tendencia de la jurisprudencia española es favorable al consumidor en estos supuestos.
Referencias y fuentes
Zscaler ThreatLabz (2025). “Android Document Readers and Deception: Tracking the Latest Updates to Anatsa”. https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa
ThreatFabric (2024). “Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach”. https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach
The Hacker News (2025). “Anatsa Android Banking Trojan Hits 90,000 Users with Fake PDF App on Google Play”. https://thehackernews.com/2025/07/anatsa-android-banking-trojan-hits.html
Security Affairs (2025). “Malicious apps with +19M installs removed from Google Play because spreading Anatsa banking trojan and other malware”. https://securityaffairs.com/181528/malware/malicious-apps-with-19m-installs-removed-from-google-play-because-spreading-anatsa-banking-trojan-and-other-malware.html
Cleafy Labs (2021). “TeaBot, a new Android malware targeting banks in Europe”. https://www.cleafy.com/cleafy-labs/teabot
Malwarebytes (2025). “77 malicious apps removed from Google Play Store”. https://www.malwarebytes.com/blog/news/2025/08/77-malicious-apps-removed-from-google-play-store
Infosecurity Magazine (2024). “Anatsa Banking Trojan Resurfaces, Targets European Banks”. https://www.infosecurity-magazine.com/news/anatsa-banking-trojan-targets/
BleepingComputer (2025). “Malicious Android apps with 19M installs removed from Google Play”. https://www.bleepingcomputer.com/news/security/malicious-android-apps-with-19m-installs-removed-from-google-play/
SecurityOnline (2025). “Anatsa Android Trojan Expands Its Global Reach and Targets 831 Financial Apps”. https://securityonline.info/anatsa-android-trojan-expands-its-global-reach-and-targets-831-financial-apps/
Teknofilo (2024). “Este malware está vaciando cuentas del Santander, BBVA, CaixaBank, Sabadell, ING y más bancos”. https://www.teknofilo.com/este-malware-esta-vaciando-cuentas-del-santander-bbva-caixabank-sabadell-ing-y-mas-bancos/
Zscaler ThreatLabz (2024). “Anatsa Campaign Technical Analysis”. https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google
The Hacker News (2024). “Anatsa Android Trojan Bypasses Google Play Security, Expands Reach to New Countries”. https://thehackernews.com/2024/02/anatsa-android-trojan-bypasses-google.html
Este artículo analiza información técnica publicada por Zscaler ThreatLabz, ThreatFabric, Cleafy Labs, Malwarebytes y medios de ciberseguridad especializados. Las cifras de descargas e instalaciones corresponden a los informes citados. Los datos sobre bancos españoles afectados reflejan los objetivos documentados en las configuraciones del malware, no implican vulnerabilidades en los sistemas bancarios. Las recomendaciones legales no sustituyen el asesoramiento jurídico profesional.
Sobre el autor: Jonathan Izquierdo es perito informático forense, ex-CTO y 5x AWS Certified. Especializado en análisis de malware móvil, investigación de fraudes bancarios digitales y elaboración de informes periciales con validez judicial. Metodología ISO 27037 para cadena de custodia digital.
Última actualización: 19 de febrero de 2026
