Bleeping Computer 網(wǎng)站消息，自 2023 年 3 月以來(lái)，一個(gè)新手機(jī)惡意軟件向美國(guó)、英國(guó)、德國(guó)、奧地利和瑞士等國(guó)的網(wǎng)上銀行客戶推送 Android 銀行木馬 "Anatsa"。

ThreatFabric 安全研究人員一直在跟蹤這項(xiàng)惡意軟件活動(dòng)，他們表示攻擊者正在通過(guò)安卓官方應(yīng)用商店P(guān)lay Store 分發(fā)惡意軟件，僅通過(guò)這種方法就已經(jīng)安裝了 30000 多個(gè)。

2021 年 11 月，ThreatFabric 在 Google Play 上發(fā)現(xiàn)了Anatsa 的“歷史”活動(dòng)記錄，當(dāng)時(shí)該木馬通過(guò)模仿PDF 掃描儀、二維碼掃描儀、Adobe Illustrator 應(yīng)用程序和健身追蹤器應(yīng)用程序，成功分發(fā)安裝了 30 多萬(wàn)次。

新的 Anatsa 銀行木馬運(yùn)動(dòng)

2023 年 3 月，在此前惡意軟件傳播中斷六個(gè)月后，威脅攻擊者發(fā)起一個(gè)新的惡意軟件“營(yíng)銷(xiāo)”活動(dòng)，試圖引導(dǎo)潛在受害目標(biāo)從 Google Play 下載 Anatsa 滴管應(yīng)用程序。

1687836822_649a58968602012fce5a7.png!small?1687836823629

Google Play 上的惡意應(yīng)用程序（ThreatFabric）

這時(shí)候的惡意應(yīng)用程序?qū)儆谵k公/生產(chǎn)力類(lèi)型，通過(guò)冒充 PDF 查看器、編輯器應(yīng)用程序以及辦公套件。值得一提的是，每當(dāng) ThreatFabric 向谷歌報(bào)告惡意應(yīng)用程序并將其從商店刪除時(shí)，網(wǎng)絡(luò)攻擊者就會(huì)以一個(gè)新偽裝上傳新的滴管應(yīng)用程序，迅速回歸。

目前，所有已確認(rèn)的五個(gè)惡意軟件滴管案例中，這些應(yīng)用都是以“干凈安全”的形式提交到 Google Play，后續(xù)，攻擊者再用惡意代碼進(jìn)行更新。之所以采用這種模式，很可能是攻擊者為了逃避 Google 第一次提交時(shí)嚴(yán)格的代碼審查程序。

1687836877_649a58cd33f78e6feb17c.png!small?1687836876803

惡意應(yīng)用程序提交時(shí)間表（ThreatFabric）

一旦有受害者目標(biāo)下載惡意程序，滴管應(yīng)用程序就會(huì)請(qǐng)求托管在 GitHub 上的外部資源，從那里下載偽裝成 Adobe Illustrator 文本識(shí)別器插件的 Anatsa 有效載荷。

1687836901_649a58e57a1673bbca583.png!small?1687836901076

從 GitHub 檢索到的有效載荷（ThreatFabric）

當(dāng)受害者試圖啟動(dòng)“合法”的銀行應(yīng)用程序時(shí)，Anatsa 則趁機(jī)通過(guò)在前臺(tái)覆蓋釣魚(yú)頁(yè)面以及通過(guò)鍵盤(pán)記錄來(lái)收集銀行賬戶憑據(jù)、信用卡詳細(xì)信息、支付信息等財(cái)務(wù)信息。目前版本中，Anatsa 特洛伊木馬支持針對(duì)世界各地近 600 個(gè)銀行機(jī)構(gòu)的金融應(yīng)用程序。

1687836921_649a58f9b874a6b6bcbd7.png!small?1687836921531

Anatsa 攻擊的一些美國(guó)銀行（ThreatFabric）

Anatsa 通過(guò)啟動(dòng)銀行應(yīng)用程序并冒充受害者進(jìn)行交易，利用竊取的信息進(jìn)行欺詐，為其運(yùn)營(yíng)商自動(dòng)化洗錢(qián)過(guò)程。ThreatFabric 進(jìn)一步指出由于交易是從目標(biāo)銀行客戶經(jīng)常使用的同一設(shè)備發(fā)起，銀行反欺詐系統(tǒng)很難檢測(cè)到。

此后，被盜金額會(huì)被轉(zhuǎn)換為加密貨幣，并通過(guò)受害者所在國(guó)的洗錢(qián)網(wǎng)絡(luò)轉(zhuǎn)出（洗錢(qián)網(wǎng)絡(luò)將保留被盜資金一部分作為費(fèi)用，其余部分將發(fā)送給攻擊者）。

到保護(hù) Android 系統(tǒng)的時(shí)刻了

隨著 Anatsa 等惡意軟件將目標(biāo)逐漸擴(kuò)展到許多國(guó)家，用戶必須對(duì)其安卓設(shè)備上安裝的應(yīng)用程序格外警惕，應(yīng)該避免安裝來(lái)自可疑發(fā)行商的應(yīng)用程序，即使這些應(yīng)用程序在谷歌 Play 等經(jīng)過(guò)嚴(yán)格審查的商店中。

此外，還要檢查應(yīng)用程序的評(píng)論，判斷其是否存在惡意行為，盡量安裝網(wǎng)站上知名且經(jīng)常引用的應(yīng)用程序，避免安裝評(píng)論很少的應(yīng)用程序。

文章來(lái)源：https://www.bleepingcomputer.com/news/security/anatsa-android-trojan-now-steals-banking-info-from-users-in-us-uk/