O app “Document Reader – File Manager” no Google Play, do desenvolvedor ISTOQMAH, é um dropper que já acumulou mais de 50 mil downloads e instala o trojan bancário Anatsa (TeaBot) em segundo plano para roubar credenciais financeiras.
Como o app malicioso funciona
O aplicativo se apresenta como leitor/gerenciador de documentos (PDF, scanner, file manager), com interface legítima, para ganhar confiança e permissões sensíveis. Após a instalação, ele contata um servidor remoto, baixa um payload DEX camuflado como “atualização” a partir de https://quantumfilebreak[.]com/txt.txt e, se as checagens de ambiente não detectam análise, carrega o Anatsa sem passar por novos controles da Play Store.
O pacote observado nesta campanha é com.quantumrealm.nexdev.quarkfilerealm_filedoctool, com installer MD5 98af36a2ef0b8f87076d1ff2f7dc9585 e payload MD5 da5e24b1a97faeacf7fb97dbb3a585af, se comunicando com C2s em 185.215.113[.]108:85, 193.24.123[.]18:85 e 162.252.173[.]37:85. Se as verificações falham (por exemplo, em sandbox), o app apenas exibe um gerenciador de arquivos falso para manter a aparência de normalidade.
O que o Anatsa faz
Anatsa/TeaBot é um malware bancário Android ativo desde 2020, capaz de keylogging, sobreposição de telas (overlays) e transações fraudulentas diretamente em apps financeiros e de criptomoedas. As variantes atuais miram mais de 800 instituições em vários países (incluindo Alemanha e Coreia do Sul) e usam DES em tempo de execução para descriptografar strings, checagem de modelo de dispositivo para evitar emuladores e ZIPs malformados com DEX oculto para driblar análise estática.
Depois que o dropper ativa o trojan, este solicita permissões de acessibilidade e outras perigosas, como SYSTEM_ALERT_WINDOW, leitura de SMS e intents em tela cheia, permitindo sobrepor páginas falsas sobre apps bancários detectados no dispositivo. Assim, o usuário vê telas de login idênticas às originais e entrega credenciais e códigos 2FA diretamente ao operador.
Recomendações para usuários e equipes de segurança
- Remover imediatamente o app “Document Reader – File Manager”/
com.quantumrealm.nexdev.quarkfilerealm_filedoctoolse estiver instalado e, se possível, redefinir o dispositivo após backup seguro. - Revogar permissões de acessibilidade e sobreposição de qualquer app suspeito e revisar periodicamente a lista de apps com esses privilégios.
- Monitorar acessos bancários recentes e alterar senhas/ativar 2FA em apps financeiros, além de avisar o banco em caso de movimentações estranhas.
- Em ambientes corporativos, usar IOCs (package name, hashes, domínio
quantumfilebreak[.]com, C2s e URLs) em EDR/MDM, proxies e firewalls para detecção e bloqueio.






