據(jù)The Hacker News網(wǎng)站報(bào)道，2021年8月至10月間，4種不同的Android系統(tǒng)銀行惡意程序以通過(guò)官方Google Pllay商店傳播的方式，感染了超過(guò)30萬(wàn)臺(tái)設(shè)備，這些應(yīng)用偽裝成各類正常APP，一旦中招，就能悄然控制受感染的設(shè)備。

網(wǎng)絡(luò)安全公司 ThreatFabric表示，這4種惡意軟件被稱為Anatsa(又名 TeaBot)、Alien、ERMAC 和 Hydra，目前它們的活動(dòng)顯得十分精細(xì)化，能夠僅針對(duì)特定地區(qū)的設(shè)備部署有效載荷，并防止惡意軟件在發(fā)布過(guò)程中被其它地區(qū)下載。

4種惡意程序通過(guò)偽裝成其它應(yīng)用活動(dòng)的時(shí)間線

雖然在月初，谷歌制定了限制使用可訪問(wèn)性權(quán)限，旨在遏制惡意應(yīng)用程序從 Android 設(shè)備捕獲敏感信息，但此類應(yīng)用程序越來(lái)越多地通過(guò)其他方式改進(jìn)他們的策略，其中最主要的一種方式為版本控制技術(shù)，即首先在應(yīng)用商店中上傳一個(gè)正常版本，然后通過(guò)后續(xù)更新的方式逐步加入惡意功能。自今年 6 月以來(lái)，ThreatFabric在Google Play 商店中發(fā)現(xiàn)了六個(gè)植入有Anatsa銀行木馬的惡意程序，這些應(yīng)用程序通過(guò)“更新”的方式，提示用戶授予其安裝應(yīng)用程序的權(quán)限和輔助功能服務(wù)權(quán)限。

另一種策略是設(shè)計(jì)一種與命令和控制(C2)網(wǎng)站相匹配的外觀，以避開(kāi)傳統(tǒng)的檢測(cè)方法。安全人員在今年7月發(fā)現(xiàn)名為Vultur的遠(yuǎn)程訪問(wèn)木馬，巧妙地偽裝成一個(gè)可以創(chuàng)建二維碼的應(yīng)用程序，以此來(lái)向美國(guó)用戶投放Hydra和ERMAC惡意軟件，而這兩個(gè)惡意軟件以前并未針對(duì)美國(guó)市場(chǎng)。

此外，一款下載次數(shù)超過(guò)1萬(wàn)次的健身軟件——GymDrop，被發(fā)現(xiàn)通過(guò)引導(dǎo)下載新的健身運(yùn)動(dòng)包來(lái)植入Alien銀行木馬的有效載荷，甚至合法的開(kāi)發(fā)者網(wǎng)站還充當(dāng)了C2服務(wù)器來(lái)獲取下載惡意軟件所需的配置。

參考來(lái)源：https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html