据The Hacker News网站报道,2021年8月至10月间,4种不同的Android系统银行恶意程序以通过官方Google Pllay商店传播的方式,感染了超过30万台设备,这些应用伪装成各类正常APP,一旦中招,就能悄然控制受感染的设备。
网络安全公司 ThreatFabric表示,这4种恶意软件被称为Anatsa(又名 TeaBot)、Alien、ERMAC 和 Hydra,目前它们的活动显得十分精细化,能够仅针对特定地区的设备部署有效载荷,并防止恶意软件在发布过程中被其它地区下载。
虽然在月初,谷歌制定了限制使用可访问性权限,旨在遏制恶意应用程序从 Android 设备捕获敏感信息,但此类应用程序越来越多地通过其他方式改进他们的策略,其中最主要的一种方式为版本控制技术,即首先在应用商店中上传一个正常版本,然后通过后续更新的方式逐步加入恶意功能。自今年 6 月以来,ThreatFabric在Google Play 商店中发现了六个植入有Anatsa银行木马的恶意程序,这些应用程序通过“更新”的方式,提示用户授予其安装应用程序的权限和辅助功能服务权限。
另一种策略是设计一种与命令和控制(C2)网站相匹配的外观,以避开传统的检测方法。安全人员在今年7月发现名为Vultur的远程访问木马,巧妙地伪装成一个可以创建二维码的应用程序,以此来向美国用户投放Hydra和ERMAC恶意软件,而这两个恶意软件以前并未针对美国市场。
此外,一款下载次数超过1万次的健身软件——GymDrop,被发现通过引导下载新的健身运动包来植入Alien银行木马的有效载荷,甚至合法的开发者网站还充当了C2服务器来获取下载恶意软件所需的配置。