威胁行为者正在使用 Google Play 商店中伪装成合法移动应用程序的恶意软件植入程序,向多个欧洲国家的 Android 用户分发名为“Anatsa”的危险银行木马。
该活动已经持续了至少四个月,是该恶意软件运营商的最新一轮攻击,该恶意软件于 2020 年首次出现,此前已在美国、意大利、英国、法国、德国和其他国家/地区造成了受害者。
感染率
ThreatFabric 的研究人员自最初发现 Anatsa 以来一直在对其进行监控,并发现了 2023 年 XNUMX 月开始的新一波攻击。 在本周的一份报告中, 欺诈检测供应商称,这些攻击以多次不同的浪潮展开,目标是斯洛伐克、斯洛文尼亚和捷克共和国的银行客户。
到目前为止,自 100,000 月以来,目标地区的 Android 用户已从 Google Play 商店下载了该恶意软件的植入程序至少 2023 万次。在 ThreatFabric 跟踪的 130,000 年上半年的先前活动中,威胁行为者从 Google 移动应用商店累计安装了超过 XNUMX 次针对 Anatsa 的武器化投放器。
ThreatFabric 将相对较高的感染率归因于 Google Play 上的植入程序在 Android 设备上传送 Anatsa 时使用的多阶段方法。当植入程序最初上传到 Play 时,没有任何迹象表明它们有恶意行为。只有在登陆 Play 后,植入程序才会从远程命令和控制 (C2) 服务器动态检索用于执行恶意操作的代码。
其中一个植入程序伪装成清洁应用程序,声称出于合法原因需要获得 Android 辅助服务功能的权限。 Android 的辅助功能服务是一种特殊类型的功能,旨在让残障和有特殊需求的用户更轻松地与 Android 应用程序进行交互。威胁行为者经常利用该功能在 Android 设备上自动安装有效负载,并消除在此过程中任何用户交互的需要。
多阶段方法
ThreatFabric 表示:“最初,[cleaner] 应用程序看起来无害,没有恶意代码,其 AccessibilityService 也没有参与任何有害活动。” “然而,发布一周后,更新引入了恶意代码。此更新改变了 AccessibilityService 功能,使其能够执行恶意操作,例如在收到来自 C2 服务器的配置后自动单击按钮。”供应商指出。
Dropper 从 C2 服务器动态检索的文件包含用于分发 Android 应用程序代码的恶意 DEX 文件的配置信息; DEX 文件本身包含用于有效负载安装的恶意代码、有效负载 URL 的配置,以及最后用于在设备上下载和安装 Anatsa 的代码。
Threat Fabric 表示,威胁行为者使用的多阶段动态加载方法使他们在最新活动中使用的每个植入程序都可以规避 Google 在 Android 13 中实施的更严格的 AccessibilityService 限制。
在最新的活动中,Anatsa 的运营商选择使用总共 3 个伪装成 Google Play 上免费设备清理应用程序、PDF 查看器和 PDF 阅读器应用程序的植入程序。 ThreatFabric 在报告中表示:“这些应用程序通常会进入‘热门新免费’类别中的前三名,从而提高了它们的可信度并降低了潜在受害者的警惕性,同时增加了成功渗透的机会。”一旦安装在系统上,Anasta 就可以窃取凭据和其他信息,使威胁行为者能够接管设备,然后登录用户的银行帐户并从中窃取资金。
与苹果一样,谷歌近年来实施了许多安全机制 使威胁行为者更难窃取恶意应用程序 通过其官方移动应用商店进入 Android 设备。其中最重要的之一是 Google Play保护是一项内置 Android 功能,可实时扫描应用程序安装是否存在潜在恶意或有害行为的迹象,然后在发现任何可疑内容时发出警报或禁用应用程序。 Android 的受限设置功能也使得威胁行为者更难尝试通过侧载应用程序(或来自非官方应用程序商店的应用程序)感染 Android 设备。
即便如此,威胁行为者仍设法继续 将恶意软件潜入 Android 设备 ThreatFabric 表示,通过滥用 Android AccessibilityService 等功能,或者使用多阶段感染过程以及使用模仿 Play 商店中的程序包安装程序来旁加载恶意应用程序。
- :具有
- :是
- :不是
- 000
- 100
- 13
- 130
- 2020
- 2023
- 7
- a
- 关于
- 访问
- 账号管理
- 积累
- 行动
- 活动
- 演员
- 后
- 通知
- 让
- 允许
- 还
- 改变
- 其中
- an
- 和
- 安卓
- 安卓13
- 任何
- 什么
- 应用
- 应用程序商店
- 出现
- Apple
- 应用领域
- 应用领域
- 的途径
- 应用
- AS
- At
- 攻击
- 自动化
- 自动
- 银行
- 银行账户
- 银行业
- 银行
- BE
- 很
- 开始
- 行为
- 内建的
- by
- 营销活动
- CAN
- 产品类别
- 可能性
- 选择
- 规避
- 声称
- 清洁器
- 码
- 配置
- 继续
- 控制
- 国家
- 资历
- 可信性
- 合作伙伴
- 捷克共和国
- 危险的
- 交付
- 描述
- 设计
- 检测
- 设备
- 设备
- 地塞米松
- 残疾人
- 发现
- 不同
- 分发
- 分布
- 下载
- 配音
- ,我们将参加
- 动态
- 每
- 更容易
- 消除
- 使
- 从事
- 加强
- 欧洲
- 欧洲
- 欧洲国家
- 执行
- 执行
- 剥削
- 布
- 远
- 专栏
- 特征
- 文件
- 档
- 终于
- 发现
- (名字)
- 五
- 针对
- 四
- 法国
- 骗局
- 欺诈检测
- 自由的
- 频繁
- 止
- 功能
- 资金
- 德国
- 得到
- 谷歌
- Google Play
- 守卫
- 半
- 更难
- 有害
- 有
- 高
- 但是
- HTML
- HTTPS
- if
- 实施
- in
- 包括
- 增加
- 感染
- info
- 信息
- 初始
- 原来
- 安装
- 安装
- 安装
- 相互作用
- 相互作用
- 成
- 介绍
- IT
- 意大利
- 它的
- 本身
- JPG
- 神的国
- 土地
- 后来
- 最新
- 最少
- 合法
- 喜欢
- 日志
- 一蹴即至
- 制成
- 使
- 恶意
- 恶意软件
- 管理
- 机制
- 联络号码
- 移动应用
- 移动应用
- 监控
- 个月
- 最先进的
- 许多
- 多
- 需求
- 需要
- 全新
- 没有
- 注意到
- 没什么
- 十一月
- 众多
- of
- 官方
- 经常
- on
- 一旦
- 一
- 正在进行
- 仅由
- 到
- 操作者
- 运营商
- or
- 其他名称
- 超过
- 包
- 权限
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- Play商店
- 潜力
- 可能
- 以前
- 先前
- 过程
- 过程
- 多产的
- 率
- 价格表
- 达到
- 读者
- 实时的
- 原因
- 收到
- 最近
- 地区
- 相对
- 释放
- 远程
- 报告
- 共和国
- 要求
- 受限
- 限制
- s
- 说
- 扫描
- 保安
- 服务器
- 服务
- 设置
- 几个
- 显著
- 迹象
- 自
- 斯洛文尼亚
- 潜行
- So
- 特别
- 特殊需求
- 赞助商
- 商店
- 商店
- 成功
- 这样
- 建议
- 可疑
- 系统
- 采取
- 针对
- 瞄准
- 目标
- 这
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 本星期
- 那些
- 威胁
- 威胁者
- 时
- 至
- 最佳
- 合计
- 木马
- 尝试
- 类型
- 展开
- 联合的
- 英国
- 更新
- 上传
- 网址
- us
- 使用
- 用过的
- 用户
- 用户
- 运用
- 供应商
- 通过
- 受害者
- 观众
- 波
- 波浪
- 周
- 什么是
- ,尤其是
- 这
- 而
- 年
- 和风网