2021 年 8 月至 11 月期间,四种不同的 Android 木马通过官方 Google Play 商店传播,导致超过 300,000 台应用程序感染,这些应用程序伪装成看似无害的实用程序应用程序,以完全控制受感染的设备。
旨在提供 Anatsa(又名 TeaBot)、Alien、ERMAC 和 Hydra的网络安全公司 ThreatFabric表示,这些恶意软件活动不仅更加精细,而且还设计为具有较小的恶意足迹,有效确保 payload 仅安装在智能手机设备上,并且保证其来自在发布过程中被下载。
安装后,这些木马可以使用一种称为自动转账系统 ( ATS )的工具,在用户不知情的情况下,秘密窃取用户密码,甚至可以盗取基于 SMS 的双因素身份验证代码、击键、屏幕截图,直至耗尽用户的银行账户。现在这些应用程序已从 Play 商店中删除。
恶意应用程序列表如下:
- 两因素身份验证器(com.flowdivison)
- 保护卫士 (com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- Master Scanner Live (com.multifuction.combine.qr)
- 二维码扫描器 2021 (com.qr.code.generate)
- QR 扫描仪 (com.qr.barqr.scangen)
- PDF 文档扫描仪 – 扫描到 PDF (com.xaviermuches.docscannerpro2)
- PDF 文档扫描仪免费 (com.doscanner.mobile)
- CryptoTracker (cryptolistapp.app.com.cryptotracker)
- 健身房和健身教练 (com.gym.trainer.jeux)
本月早些时候,谷歌对可访问性权限的使用进行了限制,但这类应用的运营商正越来越多地通过其他方式改进他们的策略,即便他们被迫选择更传统的方式(通过应用市场)安装应用,也同样可以利用恶意应用从Android设备捕获敏感信息。
其中最主要的是一种称为版本控制的技术,其中首先上传应用程序的干净版本,然后以后续应用程序更新的形式逐步引入恶意功能。另一个策略是设计与dropper应用程序主题相匹配的外观相似的指挥与控制(C2)网站,以便绕过传统的检测方法。
自 2021 年 6 月以来,ThreatFabric 在 Play 商店中发现了六个Anatsa 植入程序,这些应用程序被更改为下载“更新”,然后提示用户授予其安装来自未知第三方来源的应用程序的权限和无障碍服务权限。
[参考]
https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
原创文章,作者:CNCSO,如若转载,请注明出处:https://www.cncso.com/over-300000-devices-attacked-by-4-android-trojans.html
