Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
有超过 90 个恶意 Android 应用程序通过 Google Play 被安装超过 550 万次,用于传播恶意软件和广告软件,而 Anatsa 银行木马最近的活动量激增。
Anatsa(又名“Teabot”)是一种银行木马,针对欧洲、美国、英国和亚洲的 650 多个金融机构的应用程序。它试图窃取人们的电子银行凭证以进行欺诈交易。
2024 年 2 月,Threat Fabric 报告称,自去年年底以来,Anatsa 使用生产力软件类别的各种诱饵应用程序通过 Google Play 实现了至少 150,000 次感染。Russian indicted for selling access to UScorporate networks
今天,Zscaler 报道称,Anatsa 已重返 Android 官方应用商店,目前通过两个诱饵应用程序分发:“PDF 阅读器和文件管理器”和“QR 阅读器和文件管理器”。
Anatsa 投放器应用程序来源:Zscaler在 Zscaler 进行分析时,这两款应用程序的安装量已达到 70,000 次,这表明恶意植入程序在 Google 的审核过程中漏网的风险很高。
帮助 Anatsa 植入程序应用程序逃避检测的一件事是多阶段有效载荷加载机制,该机制涉及四个不同的步骤:
- Dropper 应用程序从 C2 服务器检索配置和基本字符串
- 包含恶意植入程序代码的 DEX 文件在设备上下载并激活
- 下载带有 Anatsa 有效负载 URL 的配置文件
- DEX 文件获取并安装恶意软件负载(APK),完成感染
DEX 文件还执行反分析检查,以确保恶意软件不会在沙箱或模拟环境中执行。
一旦 Anatsa 在新感染的设备上启动并运行,它就会上传机器人配置和应用程序扫描结果,然后下载与受害者位置和个人资料相匹配的注入。
恶意软件与 C2 之间的数据交换来源:Zscaler其他 Google Play 威胁
Zscaler 报告称,在过去几个月中,它还在 Google Play 上发现了超过 90 个恶意应用程序,这些应用程序总共被安装了 550 万次。
大多数恶意应用程序模仿工具、个性化应用程序、摄影实用程序、生产力以及健康和健身应用程序。
占据主导地位的五个恶意软件家族是 Joker、Facestealer、Anatsa、Coper 和各种广告软件。
Google Play 恶意软件(左)和植入程序类型(右)来源:Zscaler尽管 Anatsa 和 Coper 仅占 Google Play 总恶意下载量的 3%,但它们比其他恶意软件危险得多,能够执行设备欺诈并窃取敏感信息。
在 Google Play 上安装新应用时,请检查所请求的权限,并拒绝与高风险活动相关的权限,例如无障碍服务、短信和联系人列表。
研究人员并未透露这 90 多个应用程序的名称,也未透露是否已向谷歌报告并要求删除它们。
然而,在撰写本文时,Zscaler 发现的两个 Anatsa 植入程序应用已从 Google Play 中移除。