📱 **移动安全威胁持续演变与扩散**：Anatsa银行木马通过伪装成“文档阅读器”等应用进行传播，显著扩大了攻击范围至全球831多家金融机构；俄罗斯联邦安全局开发的新型Android后门恶意软件，伪装成防病毒工具，可能针对俄罗斯企业员工，具备监听、摄像头流获取等功能；ERMAC安卓恶意软件源代码泄露，暴露了其针对700多款银行、购物和加密货币应用的广泛攻击能力，并且存在严重的运维安全失误；数百万用户使用的Android VPN应用存在隐蔽连接和不安全问题，可能导致隐私泄露；新型NFC驱动的安卓木马PhantomCard瞄准巴西银行客户，通过模仿“卡片保护”应用传播，并尝试窃取NFC数据和PIN码；Atomic macOS Stealer变种SHAMOS在数月内已攻击超过300个实体，窃取浏览器数据、密码、加密钱包信息等。

🌐 **APT组织策略更新与攻击手法多样化**：透明部落（APT36）利用恶意桌面快捷方式文件，通过伪装成会议通知的网络钓鱼邮件，针对印度政府实体发起攻击，部署Poseidon后门；一个复杂的南亚APT组织针对斯里兰卡、孟加拉国、巴基斯坦和土耳其的军事人员和国防组织开展间谍活动，利用新型Android恶意软件（基于Rafel RAT修改）建立持久后门；APT MuddyWater在多阶段网络钓鱼行动中，伪装成合法招聘通信，利用Firebase托管的钓鱼页面和自定义CAPTCHA，瞄准全球CFO和财务主管，并利用NetBird和OpenSSH等合法工具建立持久后门；UAC-0057（UNC1151）通过恶意压缩包对乌克兰和波兰发起网络间谍活动，利用进化型植入程序，并实验性地使用Slack webhook进行C2通信；Kimsuky主要针对驻首尔的欧洲大使馆发动鱼叉式网络钓鱼攻击，利用XenoRAT恶意软件，通过混淆的PowerShell代码从GitHub或Dropbox检索有效载荷，并确保持久性。

⚠️ **关键漏洞暴露与数据隐私风险凸显**：流行的Android root框架中发现一个严重安全漏洞，允许恶意应用在用户不知情的情况下完全控制已root的设备；迅速扩张的PolarEdge僵尸网络正在捕获全球的物联网设备，疑似作为外国网络间谍活动的幌子，通过代理恶意流量掩盖其网络间谍活动；数百个公开可访问的TeslaMate实例因配置错误，未经验证便暴露了特斯拉车辆的敏感数据，如GPS坐标、充电模式和个人驾驶习惯等，这些信息可被互联网上的任何人获取。

AVL威胁情报团队 2025-08-27 09:40 四川

近期威胁情报速览！

01 Anatsa木马演变：Android 文档阅读器与欺骗

Anatsa（又名 TeaBot），2020 年首次出现，是一种 Android 银行木马，能够窃取凭证、记录键盘并进行欺诈交易。新的攻击活动将攻击范围显著扩大到全球 831 多家金融机构，其中包括 150 多个新的银行和加密货币应用程序。攻击者使用“文档阅读器 - 文件管理器”的应用程序作为诱饵，该应用程序仅在安装后下载恶意的 Anatsa 负载，以逃避谷歌的代码审查。

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa

02 Android后门监视俄罗斯企业员工

俄罗斯联邦安全局 (FSB) 开发了一种伪装成防病毒工具软件的新型 Android 恶意软件：Android.Backdoor.916.origin，根据分发诱饵、感染方法以及其界面仅提供俄语选项的事实，研究人员认为它是针对俄罗斯企业的定向攻击而设计的。该软件功能包含监听对话、从手机摄像头中获取流媒体、使用键盘记录器记录用户输入或从通讯应用程序中窃取通信数据。应用程序的图标类似于俄罗斯联邦中央银行的徽章，背景为盾牌，文件名包括“SECURITY_FSB”、“FSB”等，试图误导潜在受害者。

https://news.drweb.ru/show/?i=15047&lng=ru

03 ERMAC 安卓恶意软件源代码泄露，银行木马基础设施被曝光

研究人员在扫描暴露资源时发现一个名为 Ermac 3.0.zip 的压缩包，其中包含该木马的完整代码，包括后端、前端（控制面板）、数据窃取服务器、部署配置，以及木马的生成器和混淆器。该木马的攻击目标范围显著扩大，能够针对 700 多款银行、购物和加密货币应用程序。除了恶意软件源代码被泄露之外，ERMAC 的操作者还存在多项严重的 运维安全（OpSec）失误，例如：硬编码的 JWT 令牌、默认的 root 凭证，以及管理面板缺乏注册保护机制，导致任何人都可以访问、操纵甚至破坏 ERMAC 的控制面板。

https://hunt.io/blog/ermac-v3-banking-trojan-source-code-leak

04 数百万用户使用的 Android VPN 应用存在隐蔽连接且不安全

研究人员发现，三种 Android VPN 应用之间存在秘密关联，Google Play 上的下载量总计超过 7 亿次，使用这些 VPN 应用的用户面临隐私泄露和安全漏洞的风险。

隐私侵犯：未公开的位置收集问题严重侵犯了用户的信任和隐私。

安全漏洞：客户端盲入/路径攻击允许攻击者推断 VPN 客户端正在与谁通信。VPN 客户端和 VPN 服务器之间的网络窃听者可以使用硬编码的 Shadowsocks 密码解密所有使用这些应用的客户端的所有信。

https://www.helpnetsecurity.com/2025/08/19/android-vpn-aps-used-by-millions-are-covertly-connected-and-insecure/

05 新型NFC驱动的安卓木马PhantomCard瞄准巴西银行客户

PhantomCard， 一种基于 Android NFC 的新型木马，主要针对巴西的银行客户，并可能在全球范围内扩张。PhantomCard 通过模仿“卡片保护”应用程序的虚假“Google Play”网页进行传播。PhantomCard 将受害者卡片上的 NFC 数据转发到犯罪分子的设备，用于支付或 ATM 取款。安装后，它会提示受害者刷卡，捕获 NFC 数据，并请求 PIN 码，通过犯罪分子控制的 NFC 中继服务器完成交易。该恶意软件的幕后黑手是活跃于巴西的Android 威胁“连环”经销商。

https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil

06 超过 300 个实体受到 Atomic macOS Stealer 变种的攻击

2025年6 月到 8 月，超过 300 个实体受到了Atomic macOS Stealer (AMOS) 变种 SHAMOS 的攻击。该恶意软件能够从多个浏览器窃取数据，包括自动填充、密码、Cookie、钱包和信用卡信息。AMOS 可以攻击多个加密钱包，例如 Electrum、Binance、Exodus、Atomic 和 Coinomi。受害者遍布加拿大、中国、哥伦比亚、意大利、日本、墨西哥、美国、英国等国家。

https://securityaffairs.com/181441/malware/over-300-entities-hit-by-a-variant-of-atomic-macos-stealer-in-recent-campaign.html

01 透明部落利用网络钓鱼工具将桌面快捷方式武器化，攻击印度政府

Transparent Tribe，也称为APT36，利用恶意桌面快捷方式文件针对 Windows 和 BOSS（Bharat 操作系统解决方案）Linux 系统发起攻击，攻击目标包括印度政府实体。攻击链始于一封伪装成会议通知的钓鱼邮件，实际上只是一些带有陷阱的Linux桌面快捷方式文件（“Meeting_Ltr_ID1543ops.pdf.desktop”）。这些文件伪装成PDF文档，诱骗收件人打开，从而执行Shell脚本。这些攻击旨在部署一个已知的透明部落后门，称为Poseidon，可以实现数据收集、长期访问、凭证收集以及潜在的横向移动。

https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/

02 南亚APT组织利用新型工具入侵军事相关人员手机  

一个复杂的南亚高级持续性威胁 (APT) 组织一直在针对斯里兰卡、孟加拉国、巴基斯坦和土耳其的军事人员和国防组织开展大规模间谍活动。攻击者采用多阶段攻击框架，结合针对性网络钓鱼和新型Android恶意软件。该安卓木马基于开源 Rafel RAT 框架修改，通过 APK 文件（如 Love_Chat.apk）分发，伪装成合法的聊天应用程序，同时建立对受感染设备的持久后门访问。

威胁行为者已成功入侵多个国家的军事人员，窃取的数据包括短信、包含军衔和工作地点的联系人列表以及敏感的组织文件。

https://strikeready.com/blog/apt-android-phishing-microsoft/

03 APT MuddyWater 利用 OpenSSH、RDP 和计划任务攻击 CFO

APT MuddyWater 在部署项多阶段网络钓鱼行动，伪装成罗斯柴尔德公司 (Rothschild & Co) 的合法招聘通信，利用 Firebase 托管的网络钓鱼页面和自定义 CAPTCHA 挑战来欺骗高价值目标，瞄准欧洲、北美、南美、非洲和亚洲的首席财务官和财务主管。此次活动表明该组织的策略发生了重大变化，其利用包括 NetBird 和 OpenSSH 在内的合法远程访问工具在企业网络中建立持久后门。

https://cybersecuritynews.com/apt-muddywater-attacking-cfos/

04 UAC-0057利用武器化压缩包和进化型植入程序攻击乌克兰与波兰

被追踪为UAC-0057（亦称为UNC1151、FrostyNeighbor或Ghostwriter）的威胁组织自2025年4月起，通过恶意压缩包对乌克兰和波兰发起两起相互关联的网络间谍活动。这些压缩包内含多阶段植入程序，旨在收集情报并建立持久访问权限。针对波兰的变种实验性地采用Slack webhook进行C2通信，滥用免费版Slack工作区作为隐蔽数据外泄通道。更高级的变种还部署了Cobalt Strike Beacons，显示攻击者具备长期驻留和横向移动的能力。

https://harfanglab.io/insidethelab/uac-0057-pressure-ukraine-poland/

05 Kimsuky利用 XenoRAT 恶意软件攻击韩国多个大使馆

自2025年3月以来，Kimsuky主要针对驻首尔的欧洲大使馆，已发动至少19次鱼叉式网络钓鱼攻击。攻击主题包括虚假的会议邀请、官方信函和活动邀请，通常由冒充的外交官发出。

攻击者从 Dropbox、Google Drive 或 Daum 存储服务提供受密码保护的档案（.ZIP），这将降低电子邮件保护系统标记消息的风险。这些档案包含一个伪装成 PDF 的 .LNK 文件。启动后，它会触发经过混淆的 PowerShell 代码，从 GitHub 或 Dropbox 检索 XenoRAT 有效载荷，并通过计划任务确保其持久性。

https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/

01 黑客可以通过利用一个漏洞完全控制你的root Android设备

流行的Android root框架中发现的一个严重安全漏洞，该漏洞允许恶意应用在用户不知情的情况下完全控制已root的设备，并获得完整的系统控制权。该漏洞利用了 KernelSU 对管理器应用程序进行身份验证的一个根本弱点。当应用程序使用魔法值 0xDEADBEEF 通过 prctl 系统调用请求管理器权限时，框架会执行三项验证检查：验证提供的数据目录路径、确认目录所有权以及验证 APK 的数字签名。虽然前两项检查很容易被任何恶意应用程序绕过，签名验证过程却包含一个可被利用的严重缺陷。

https://cybersecuritynews.com/hackers-could-gain-full-control-rooted-android-devices/

02 PolarEdge 僵尸网络疑似网络间谍活动

一个迅速扩张的僵尸网络，正在捕获全球的物联网设备，疑似作为外国网络间谍活动的幌子。该软件针对多种企业级边缘设备和消费级物联网设备。攻击者选择的设备通常是始终在线且稳定的，如IP摄像头、ASUS-RT系列路由器、思科APIC摄像头、网络附加存储和摄像头等，这些设备非常适合以合法用户的名义代理恶意流量。PolarEdge的目的可能是创建一个可操作的中继盒网络，以掩盖网络间谍活动。

https://www.govinfosecurity.com/ballooning-polaredge-botnet-suspected-cyberespionage-op-a-29246

03 特斯拉车主隐私 “裸奔”，GPS 坐标、驾驶习惯等随意获取

网络安全研究人员发现，数百个公开可访问的TeslaMate实例因配置错误，未经验证便暴露了特斯拉车辆的敏感数据，如GPS坐标、充电模式和个人驾驶习惯等隐私信息，这些信息可被互联网上任何人获取。研究人员使用masscan和httpx工具全网扫描4000端口（TeslaMate核心应用接口所在端口），识别出存在漏洞的TeslaMate实例，并在teslamap.io上绘制受影响车辆分布图，直观呈现隐私泄露的严重性。

https://cybersecuritynews.com/teslamate-leaks-vehicle-data/

阅读原文

跳转微信打开