HackerNews 编译,转载请注明出处:
Zscaler 旗下 ThreatLabs 团队在调查一波针对安卓设备的 Anatsa(Teabot)银行木马新感染浪潮时,发现 77 款恶意安卓应用在 Google Play 上被安装了超过 1900 万次,这些应用向用户传播多种恶意软件家族。
虽然大部分恶意应用(超过 66%)包含广告软件组件,但最常见的安卓恶意软件是 Joker,研究人员在近 25% 的分析应用中发现了它。安装到设备后,Joker 可以读取和发送短信、截屏、拨打电话、窃取通讯录、访问设备信息,并为用户订阅高级服务。
较小比例的应用程序包含伪装软件(maskware),该术语用于定义那些伪装成不会引起任何怀疑的合法应用的恶意软件。此类恶意软件可能表现为功能正常的合法应用,但会在后台执行恶意活动,例如窃取凭证、银行信息或其他敏感数据(位置、短信)。网络犯罪分子也可能利用伪装软件传播其他恶意软件。
Zscaler 研究人员还发现了一种名为 Harly 的 Joker 变种,它以一个表面合法的应用程序形式出现,但将恶意负载隐藏在代码深处,以在审核过程中规避检测。在 3 月的一份报告中,Human Security 研究人员称 Harly 可以隐藏在流行应用中,例如游戏、壁纸、手电筒和照片编辑器。
Anatsa 木马持续进化
据 Zscaler 称,最新版本的 Anatsa 银行木马进一步扩大了其目标范围,试图窃取数据的银行和加密货币应用数量从此前的 650 个增加到了 831 个。该恶意软件运营商使用一款名为“Document Reader – File Manager”(文档阅读器 – 文件管理器)的应用作为诱饵,该应用仅在安装后才下载恶意的 Anatsa 负载,以此规避谷歌的代码审查。
Google Play上的 Anatsa 木马应用程序
来源:Zscaler
最新活动已从过去使用的远程 DEX 动态代码加载方式,转变为直接安装负载,从 JSON 文件中解包,然后将其删除。在规避检测方面,它使用畸形的 APK 文件来破坏静态分析,运行时基于 DES 的字符串解密,以及模拟环境检测。包名和哈希值也会定期更改。
检测仿真(左)并获取有效负载(右)
来源:Zscaler
在功能方面,Anatsa 滥用安卓系统的无障碍权限,自动授予自身广泛权限。它从服务器获取针对 831 多个应用的钓鱼页面,现已覆盖德国和韩国,同时还添加了键盘记录模块用于窃取通用数据。
在 ThreatFabric 于 7 月发现的另一波攻击之后,最新的 Anatsa 活动接踵而至。当时该木马伪装成 PDF 阅读器潜入 Google Play,下载量超过 5 万次。更早的 Anatsa 活动包括:2024 年 5 月的一次 PDF 和 QR 码阅读器攻击,感染 7 万台设备;2024 年 2 月的一次手机清理器和 PDF 攻击,获得 15 万次下载;以及 2023 年 3 月的一次 PDF 阅读器攻击,安装量达到 3 万次。
Google Play 上的恶意应用浪潮
除了此次发现的恶意 Anatsa 应用外,Zscaler 发现的大多数是广告软件家族,其次是“Joker”、“Harly”和各种伪装软件。
“ThreatLabz 发现 Google Play 商店上的广告软件应用数量急剧上升,同时还有诸如 Joker、Harly 以及 Anatsa 等银行木马类恶意软件,”Zscaler 研究员 Himanshu Sharma 解释道,“相比之下,像 Facestealer 和 Coper 这样的恶意软件家族数量则出现了明显下降。”
工具和个性化应用占用于传播这些恶意软件的诱饵的一半以上,因此这两类应用,连同娱乐、摄影和设计类应用,应被视为高风险类别。包括含有 Anatsa 木马的应用在内,这 77 款恶意应用在 Google Play 上的总下载量达到 1900 万次。
Zscaler 报告称,在其报告后,谷歌已从 Play 商店中移除了他们此次发现的所有恶意应用。安卓用户必须确保其设备上的 Play Protect 服务处于激活状态,以便标记恶意应用进行移除。若感染了 Anatsa 木马,则需采取额外步骤联系银行,以保护可能已被泄露的电子银行账户或凭证安全。
为尽量减少来自 Google Play 上恶意软件加载器的风险,请仅信任信誉良好的发布者,至少阅读几条用户评论,并且仅授予与应用核心功能直接相关的权限。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
