Zscaler 的专家在 Google Play 上发现了 90 多个恶意应用程序,这些应用程序旨在分发恶意软件和广告软件,包括银行木马 Anatsa。这些应用程序的下载量已超过 550 万次。
Anatsa (Teabot)的描述
Anatsa 是一种银行木马,针对欧洲、美国、英国和亚洲的 650 多个金融机构应用程序。该木马窃取网上银行凭据以进行欺诈易。自 2023 年底以来,Anatsa 利用各种生产力应用程序通过 Google Play 感染了至少 150,000 次设备。
通过 Google Play 传播 Anatsa
根据 Zscaler 的说法,Anatsa 已经回到了 Google Play,通过两个诱饵应用程序传播:“PDF 阅读器和文件管理器”和“QR 阅读器和文件管理器”。在分析时,这些应用程序已被安装70,000次,这表明逃避Google审查过程的风险很高。
恶意软件传递机制
Anatsa 采用多级有效载荷交付机制,包括四个步骤:
1. 应用程序从 C2 服务器检索配置和密钥字符串。
2. 下载并激活包含恶意代码投放器的 DEX 文件。
3. 下载包含 Anatsa 有效负载 URL 的配置文件。
4. DEX文件提取并安装恶意APK,完成感染过程。
防分析与防护
该DEX文件进行反分析检查,以确保恶意软件不会在沙盒或模拟环境中运行。启动后,Anatsa 会下载机器人配置和应用程序扫描结果,然后根据受害者的位置和个人资料进行定制的注射。
其他恶意应用程序
在过去的几个月里,Zscaler 在 Google Play 上发现了 90 多个恶意应用程序,总共安装了 550 万次。其中大多数伪装成个性化应用程序、照片实用程序、生产力工具以及健康和健身应用程序。
研究人员没有透露所有应用程序的名称,也没有澄清他们是否向谷歌报告了该活动。到目前为止,已经从 Google Play 中删除了两个应用程序。
根据 Zscaler 的说法,几个恶意软件家族主导着市场:Joker、Facestealer、Anatsa、Coper 和各种广告软件应用程序。尽管 Anatsa 和 Coper 仅占恶意下载总数的 3%,但它们的危险性要大得多,能够执行恶意操作并窃取敏感信息。
给用户的建议
从 Google Play 安装新应用时,请务必检查请求的权限,并拒绝与高风险操作相关的权限,例如访问无障碍服务、短信和联系人列表。
相关文章
网友评论(共有 0 条评论)
