Bleeping Computer 網(wǎng)站消息����,自 2023 年 3 月以來�,一個(gè)新手機(jī)惡意軟件向美國�����、英國��、德國��、奧地利和瑞士等國的網(wǎng)上銀行客戶推送 Android 銀行木馬 "Anatsa"��。
(資料圖片)
ThreatFabric 安全研究人員一直在跟蹤這項(xiàng)惡意軟件活動(dòng)����,他們表示攻擊者正在通過安卓官方應(yīng)用商店P(guān)lay Store 分發(fā)惡意軟件,僅通過這種方法就已經(jīng)安裝了 30000 多個(gè)���。
2021 年 11 月��,ThreatFabric 在 Google Play 上發(fā)現(xiàn)了Anatsa 的“歷史”活動(dòng)記錄���,當(dāng)時(shí)該木馬通過模仿PDF 掃描儀、二維碼掃描儀、Adobe Illustrator 應(yīng)用程序和健身追蹤器應(yīng)用程序��,成功分發(fā)安裝了 30 多萬次����。
新的 Anatsa 銀行木馬運(yùn)動(dòng)
2023 年 3 月,在此前惡意軟件傳播中斷六個(gè)月后�,威脅攻擊者發(fā)起一個(gè)新的惡意軟件“營銷”活動(dòng),試圖引導(dǎo)潛在受害目標(biāo)從 Google Play 下載 Anatsa 滴管應(yīng)用程序�。
1687836822_649a58968602012fce5a7.png!small?1687836823629
Google Play上的惡意應(yīng)用程序(ThreatFabric)
這時(shí)候的惡意應(yīng)用程序?qū)儆谵k公/生產(chǎn)力類型,通過冒充 PDF 查看器�����、編輯器應(yīng)用程序以及辦公套件�����。值得一提的是��,每當(dāng) ThreatFabric 向谷歌報(bào)告惡意應(yīng)用程序并將其從商店刪除時(shí)����,網(wǎng)絡(luò)攻擊者就會以一個(gè)新偽裝上傳新的滴管應(yīng)用程序�,迅速回歸。
目前,所有已確認(rèn)的五個(gè)惡意軟件滴管案例中�����,這些應(yīng)用都是以“干凈安全”的形式提交到 Google Play�����,后續(xù)��,攻擊者再用惡意代碼進(jìn)行更新�。之所以采用這種模式,很可能是攻擊者為了逃避 Google 第一次提交時(shí)嚴(yán)格的代碼審查程序��。
1687836877_649a58cd33f78e6feb17c.png!small?1687836876803
惡意應(yīng)用程序提交時(shí)間表(ThreatFabric)
一旦有受害者目標(biāo)下載惡意程序���,滴管應(yīng)用程序就會請求托管在 GitHub 上的外部資源����,從那里下載偽裝成 Adobe Illustrator 文本識別器插件的 Anatsa 有效載荷����。
1687836901_649a58e57a1673bbca583.png!small?1687836901076
從 GitHub 檢索到的有效載荷(ThreatFabric)
當(dāng)受害者試圖啟動(dòng)“合法”的銀行應(yīng)用程序時(shí),Anatsa 則趁機(jī)通過在前臺覆蓋釣魚頁面以及通過鍵盤記錄來收集銀行賬戶憑據(jù)���、信用卡詳細(xì)信息�����、支付信息等財(cái)務(wù)信息���。目前版本中�,Anatsa 特洛伊木馬支持針對世界各地近 600 個(gè)銀行機(jī)構(gòu)的金融應(yīng)用程序�。
1687836921_649a58f9b874a6b6bcbd7.png!small?1687836921531
Anatsa 攻擊的一些美國銀行(ThreatFabric)
Anatsa 通過啟動(dòng)銀行應(yīng)用程序并冒充受害者進(jìn)行交易,利用竊取的信息進(jìn)行欺詐�����,為其運(yùn)營商自動(dòng)化洗錢過程。ThreatFabric 進(jìn)一步指出由于交易是從目標(biāo)銀行客戶經(jīng)常使用的同一設(shè)備發(fā)起,銀行反欺詐系統(tǒng)很難檢測到���。
此后,被盜金額會被轉(zhuǎn)換為加密貨幣,并通過受害者所在國的洗錢網(wǎng)絡(luò)轉(zhuǎn)出(洗錢網(wǎng)絡(luò)將保留被盜資金一部分作為費(fèi)用�����,其余部分將發(fā)送給攻擊者)��。
到保護(hù)Android系統(tǒng)的時(shí)刻了
隨著 Anatsa 等惡意軟件將目標(biāo)逐漸擴(kuò)展到許多國家���,用戶必須對其安卓設(shè)備上安裝的應(yīng)用程序格外警惕,應(yīng)該避免安裝來自可疑發(fā)行商的應(yīng)用程序��,即使這些應(yīng)用程序在谷歌 Play 等經(jīng)過嚴(yán)格審查的商店中���。
此外�,還要檢查應(yīng)用程序的評論����,判斷其是否存在惡意行為,盡量安裝網(wǎng)站上知名且經(jīng)常引用的應(yīng)用程序�,避免安裝評論很少的應(yīng)用程序。
文章來源:https://www.bleepingcomputer.com/news/security/anatsa-android-trojan-now-steals-banking-info-from-users-in-us-uk/
