恶意 Anatsa 下载器的伪装:PDF 阅读器和垃圾清理器

阅读量30383

发布时间 : 2024-02-21 10:35:12

黑客通过发布恶意应用程序一次又一次地绕过谷歌的审核。他们如何做到这一点?

去年 11 月,研究人员发现一种名为 Anatsa 的Android木马 的恶意活动已扩展到斯洛伐克、斯洛文尼亚和捷克共和国境内。该扩展程序是一项新活动的一部分,其中尽管 Google Play 中实施了增强的检测和保护机制,但一些恶意下载程序仍成功利用了 Android 无障碍服务。

据 ThreatFabric称,此次恶意活动中使用的所有下载器均顺利完成任务,绕过了 Android 13 的系统限制。该活动总共涉及 5 个下载器,总安装量超过 10 万次 。

Anatsa 木马(也称为 TeaBot 和 Toddler)通过 Play 商店中看似无害的应用程序进行分发。一旦安装并启动,该木马就能够完全控制受感染的设备并代表受害者执行各种操作,包括窃取欺诈交易的凭据。

引导加载程序的一个版本伪装成系统清理应用程序“Phone Cleaner – File Explorer”,使用版本控制技术注入恶意代码。也就是说,最初上传到Google Play的应用程序不包含任何恶意代码。所有恶意功能都是在后续更新中添加的,而实际上,谷歌不再对代码进行仔细审核。

为了避免在引入恶意功能后被发现,攻击者使用了多阶段感染过程。加载程序从C2服务器动态加载配置和有效负载,这使得黑客可以随时更改恶意组件。

尽管手机清理器 – 文件资源管理器应用程序不再在官方 Play 商店中提供,但仍然可以通过第三方来源下载。 据AppBrain 称 ,该应用程序在 11 月 13 日至 27 日期间被下载了约 12,000 次,然后被删除 。

ThreatFabric 指出,攻击者倾向于将攻击集中在某些地理区域,这导致短时间内出现大量欺诈案件。

ThreatFabric报告发布后,谷歌代表宣布他们已经删除了研究人员确定的所有应用程序,即:

手机清理器 – 文件资源管理器 (com.volabs.androidcleaner)

PDF 查看器 – 文件资源管理器 (com.xolab.fileexplorer)

PDF 阅读器 – 查看器和编辑器 (com.jumbodub.fileexplorerpdfviewer)

手机清理器:文件资源管理器 (com.appiclouds.phonecleaner)

PDF 阅读器:文件管理器 (com.tragisoap.fileandpdfmanager)

其中一款应用程序在 2 月 19 日被删除时已成功获得 10 万安装量。我们希望用户及时发现问题并从设备中删除伪装的滴管。

谷歌指出,由于 Play Protect 功能,Android 用户现在可以自动免受已知版本的 Anatsa 恶意软件的侵害,该功能在所有具有谷歌服务的设备上默认启用。

Play Protect 可以提醒用户并阻止已知存在恶意行为的应用程序,即使它们不是来自官方 Play 商店。

但尽管威胁已经过去,谷歌的防护措施也在不断完善,但仍然没有放松的必要。为了避免成为类似恶意软件的受害者之一,切勿安装来自未知发布者的可疑应用程序,并密切注意所需的权限。

对辅助功能服务的访问应该是您的试金石:如果应用程序请求此类权限,则它很可能是恶意的。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66