Google Play 商店中的假文档阅读器,下载量达 10 万
一个危险的安卓银行木马再次在 Google Play 商店中蔓延,隐藏在一个看似简单的文档阅读器应用中。
该应用已被下载超过10万次,给大量安卓用户带来了严重的金融盗窃和个人数据丢失风险。
涉事恶意软件是 Anatsa,也称为 TeaBot,首次出现于 2020 年。自早期以来,它稳步发展成为现存的更复杂的安卓银行威胁之一。
它旨在窃取银行凭证、记录键盘输入并进行欺诈交易,而受害者却从未察觉异常。
最新变体已将覆盖范围扩大到全球超过831家金融机构,包括银行应用、投资平台和加密货币服务。
Zscaler ThreatLabz 的研究人员在与 Cyber Security News(CSN)的报告中分享了他们的发现,确认该恶意应用是一个伪装成文件管理器和文档阅读工具的滴管。
据报道,该应用遵循了如今已熟悉的操作手册:刚安装时看似完全无害,随后悄悄从后台远程服务器拉取实际的 Anatsa 负载 。
这种方法帮助它绕过谷歌在应用上线前对应用进行的安全检查。这个活动特别突出的是应用对掩护的良好维护。
如果恶意软件检测到它运行在分析环境中,或者无法访问其命令与控制服务器,它会向用户展示一个可用的文件管理器界面。没有明显的恶意迹象,这正是早期发现困难的原因。
当有效载荷完全安装并激活后,Anatsa 会向用户请求访问权限。
如果获得许可,恶意软件会悄无声息地启用多种额外权限,包括读取和接收短信、显示系统警报以及全屏运行。这些权限赋予它所需的权限,能够静默监控用户在设备上的所有操作。
在 Play 商店中,包裹名称下列出的应用 com.westhorizont.appsforge.filehorizon_explorereaddocuments 自称是一个合法的文件管理和文档阅读工具。
下载后,安装程序连接到远程服务器,如果设备通过检查,就会下载伪装成常规应用更新的完整 Anatsa 银行木马有效载荷。
为了让检测更难,安装程序使用由动态生成的 DES 密钥驱动的运行时字符串解密。
有效载荷隐藏在一个损坏的 ZIP 压缩包中,带有无效的压缩和加密标志,导致大多数静态分析工具完全失败。
包名和安装哈希也会定期轮换,以避免被追踪已知标识符的安全系统标记。
一旦 Anatsa 在设备上完全激活,它会开始监控用户是否打开任何银行或金融应用。
当检测到此类恶意软件时,会叠加一个假登录界面,镜像真实应用,诱使用户直接将凭证输入恶意软件。
这些假页面是直接从 C2 服务器下载的,并根据设备上的金融应用进行定制。
木马还运行内置的键盘记录器,记录用户输入的所有内容,并用单字节异或密钥加密与 C2 服务器的所有通信,以保持流量对网络监控工具的隐蔽。
为了安全起见,Android 用户应仔细审查任何应用请求的权限,再授予权限。如果文档阅读器要求访问短信或无障碍设置,那是明显的警示信号。
建议:选择经过认证开发者的应用,安装前阅读近期用户评价,并且始终在设备上启用 Google Play Protect。
夜雨聆风
