4种Android 银行木马已在今年感染超30万台设备
2021-11-30 18:09:18 Author: www.freebuf.com(查看原文) 阅读量:12 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据The Hacker News网站报道,2021年8月至10月间,4种不同的Android系统银行恶意程序以通过官方Google Pllay商店传播的方式,感染了超过30万台设备,这些应用伪装成各类正常APP,一旦中招,就能悄然控制受感染的设备。

网络安全公司 ThreatFabric表示,这4种恶意软件被称为Anatsa(又名 TeaBot)、Alien、ERMAC 和 Hydra,目前它们的活动显得十分精细化,能够仅针对特定地区的设备部署有效载荷,并防止恶意软件在发布过程中被其它地区下载。

4种恶意程序通过伪装成其它应用活动的时间线

虽然在月初,谷歌制定了限制使用可访问性权限,旨在遏制恶意应用程序从 Android 设备捕获敏感信息,但此类应用程序越来越多地通过其他方式改进他们的策略,其中最主要的一种方式为版本控制技术,即首先在应用商店中上传一个正常版本,然后通过后续更新的方式逐步加入恶意功能。自今年 6 月以来,ThreatFabric在Google Play 商店中发现了六个植入有Anatsa银行木马的恶意程序,这些应用程序通过“更新”的方式,提示用户授予其安装应用程序的权限和辅助功能服务权限。

另一种策略是设计一种与命令和控制(C2)网站相匹配的外观,以避开传统的检测方法。安全人员在今年7月发现名为Vultur的远程访问木马,巧妙地伪装成一个可以创建二维码的应用程序,以此来向美国用户投放Hydra和ERMAC恶意软件,而这两个恶意软件以前并未针对美国市场。

此外,一款下载次数超过1万次的健身软件——GymDrop,被发现通过引导下载新的健身运动包来植入Alien银行木马的有效载荷,甚至合法的开发者网站还充当了C2服务器来获取下载恶意软件所需的配置。

参考来源:https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html


文章来源: https://www.freebuf.com/articles/306600.html
如有侵权请联系:admin#unsafe.sh