据The Hacker News网站报道,2021年8月至10月,四种不同Android通过官方程序,系统银行恶意程序Google Pllay商店传播的方式感染了30多万台设备,伪装成各种正常应用APP,被感染的设备一旦设备就可以悄然控制。
网络安全公司ThreatFabric这四种恶意软件被称为Anatsa(又名 TeaBot)、Alien、ERMAC 和 Hydra,目前它们的活动显得十分精细化,能够仅针对特定地区的设备部署有效载荷,并防止恶意软件在发布过程中被其它地区下载。
4通过伪装成其他应用其他应用程序的时间线
尽管谷歌在月初制定了限制可访问性权限的限制,旨在遏制恶意应用程序从 Android 设备捕获敏感信息,但越来越多的应用程序通过其他方式改进其策略。最重要的方法之一是版本控制技术,即首先在应用商店上传正常版本,然后通过后续更新逐渐添加恶意功能。自今年6月以来,ThreatFabric在Google Play 在商店里发现了六种植入物Anatsa通过银行木马恶意程序,这些应用程序“更新”提示用户授予其安装应用程序和辅助功能服务的权限。
另一种策略是设计一种与命令和控制(C2)为了避免传统的检测方法,网站的匹配外观。今年7月,安全人员发现了这个名字Vultur远程访问木马巧妙地伪装成一个可以创建二维码的应用程序,以向美国用户投放Hydra和ERMAC以前没有针对美国市场的恶意软件。
此外,下载次数超过1万次的健身软件——GymDrop,被发现通过引导下载新的健身包植入Alien银行木马的有效负荷,甚至是合法的开发者网站C2下载恶意软件所需的配置服务器。
参考来源:https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html