Theo BGR, các ứng dụng độc hại này bắt nguồn từ phần mềm độc hại có tên Anatsa (còn gọi là TeaBot), một phần mềm độc hại ngân hàng đặc biệt nguy hiểm có vẻ vô hại khi người dùng cài đặt lần đầu nhưng sau đó tải xuống mã độc hoặc máy chủ ra lệnh và kiểm soát (C2) được ngụy trang dưới dạng bản cập nhật ứng dụng. Điều này cho phép phần mềm độc hại tránh bị phát hiện trên cửa hàng ứng dụng Android.
Nói cách khác, các ứng dụng ban đầu không độc hại. Chúng khiến nhiều người tưởng rằng an toàn trước khi tiến hành tải nội dung độc hại được ngụy trang dưới dạng bản cập nhật ứng dụng hợp pháp. Sau khi phần mềm độc hại lây nhiễm thành công vào thiết bị và bắt đầu liên lạc với máy chủ C2, nó sẽ quét thiết bị của người dùng để phát hiện mọi ứng dụng ngân hàng đã cài đặt.
Nếu tìm thấy bất kỳ thông tin nào, nó sẽ gửi thông tin đó đến máy chủ C2, sau đó máy chủ này sẽ gửi lại trang đăng nhập giả mạo cho các ứng dụng được phát hiện. Nếu người dùng đối mặt thủ thuật này và nhập thông tin đăng nhập của mình, thông tin đó sẽ được gửi trở lại máy chủ, lúc đó tin tặc có thể sử dụng chúng để đăng nhập vào ứng dụng ngân hàng của nạn nhân và đánh cắp tiền của họ.
Hai ứng dụng mà Zscaler phát hiện nhiễm Anatsa bao gồm PDF Reader & File Manager và QR Reader & File Manager. Các nhà nghiên cứu nói rằng Anatsa chủ yếu nhằm mục tiêu vào các ứng dụng từ các tổ chức tài chính ở Anh, cũng có nạn nhân ở Mỹ, Đức, Tây Ban Nha, Phần Lan, Hàn Quốc và Singapore. Mặc dù vậy, các chuyên gia khuyến cáo người dùng cần cảnh giác với những nguy hiểm dù sống ở đâu.
Mặc dù các nhà nghiên cứu không chia sẻ danh tính của các ứng dụng Android bị nhiễm phần mềm độc hại trên cửa hàng Google Play nhưng cả hai ứng dụng được chia sẻ trong ví dụ trên đều không còn có sẵn. Có lẽ Zscaler đã cảnh báo đến Google về những ứng dụng khác.