过去几个月,Google Play商店中下载了 90 多个恶意移动应用程序,下载量超过 550 万次。研究人员发现,它们传播各种恶意软件,包括Anatsa 银行木马。
Zscaler 在昨天发布的博客文章中透露,这些应用程序是 Zscaler 的研究人员在过去几个月中发现的,它们是恶意软件的诱饵,包括各种 PDF 和二维码阅读器以及文件管理器、编辑器和翻译器。
Anatsa(又名 Teabot)是一种复杂的木马病毒,它首先使用看似无害的第二阶段植入程序应用程序来诱骗用户安装有效负载。安装后,它会使用一系列规避策略从全球金融应用程序中窃取敏感的银行凭证和财务信息。
Zscaler 的 Himanshu Sharma 和 Gajanana Khond 在帖子中写道:“它通过使用覆盖和可访问性技术实现了这一点,从而可以秘密地拦截和收集数据。”
据 Zscaler 称,Anatsa 是目前在 Google Play 上传播的“最具影响力”的恶意软件之一,其他恶意软件包括Joker盗版软件、窃取凭证的 Facestealer 以及各种类型的广告软件。他们还发现Coper 木马病毒也在其中。
此外,Zscaler 的分析显示,移动应用商店中最常用于隐藏恶意软件的应用程序是 Anatsa 所隐藏的工具,其次是个人化和摄影应用程序。
逃避 Google Play 恶意软件检测
Anatsa 背后的攻击者——它可以窃取 650 多个金融应用程序的数据——之前主要针对欧洲的 Android 用户;然而,Zscaler 报告称,该恶意软件也“积极针对”美国和英国的银行应用程序。研究人员指出,运营商似乎还将目标扩大到更多欧洲国家的金融机构——包括德国、西班牙和芬兰——以及韩国和新加坡。
Zscaler 称,尽管谷歌已经做出了巨大努力来阻止恶意应用程序进入其移动应用商店,但 Anatsa 使用了一种可以绕过这些保护措施的攻击媒介。它通过一种植入器技术来实现这一点,这种技术使初始应用程序在安装时看起来好像是干净的。
研究人员写道:“然而,一旦安装,该应用程序就会从命令和控制 (C2) 服务器下载恶意代码或分阶段的有效负载,伪装成无害的应用程序更新。”“这种战略方法使恶意软件能够上传到官方 Google Play 商店并逃避检测。”
阿纳莎处于攻击模式
虽然研究人员发现了许多恶意应用程序,但他们特别观察到两个恶意的Anatsa有效载荷,它们通过模仿PDF和QR码阅读器应用程序的应用程序进行分发。他们指出,这些类型的应用程序通常会引诱大量安装,这反过来“进一步帮助欺骗受害者相信这些应用程序是真实的”。
Anatsa 使用从命令和控制 (C2) 服务器检索到的远程有效载荷感染设备,以执行进一步的恶意活动。安装后,它会启动一个 dropper 应用程序来下载下一阶段的有效载荷。
研究人员指出,该木马在其攻击媒介中使用了其他欺骗性策略,使用户或威胁猎手难以发现。在执行之前,它会检查设备环境和设备类型,最有可能检测沙箱和分析环境;然后,只有在安全的情况下,它才会加载其第三阶段和最终有效载荷。
一旦加载,Anatsa 就会请求各种权限,包括 SMS 和辅助功能选项,并与 C2 服务器建立通信以执行各种活动,例如注册受感染的设备并检索用于代码注入的目标应用程序列表。
为了窃取用户财务数据,Anatsa从 C2 下载一份金融应用目标列表,并检查设备是否安装了这些应用。它将信息传回 C2,然后 C2 为已安装的应用提供虚假登录页面,以欺骗用户提供其凭证,然后将凭证发送回攻击者控制的服务器。
保持警惕,防范移动网络威胁
尽管谷歌尽了最大努力,但该公司迄今为止仍无法阻止恶意 Android 应用进入 Google Play 商店。随着网络犯罪分子不断进化,并使用越来越具有规避性的策略制作恶意软件,“对于组织而言,实施主动安全措施来保护其系统和敏感财务信息变得至关重要”,Zscaler 研究人员指出。
他们建议,为了帮助企业移动用户避免受到攻击,组织应该采用所谓的“零信任”架构,专注于以用户为中心的安全,并确保所有用户“在访问任何资源之前都经过身份验证和授权,无论他们的设备或位置如何”。
Android 用户还可以通过在连接到企业网络时不下载移动应用程序,或者即使从受信任的应用程序商店下载应用程序时也要采取适当的辨别方式并对可疑的应用程序活动保持警惕,来保护企业网络。
发表评论
您还未登录,请先登录。
登录