2021 年8 月至11 月期間,四種不同的Android 木馬透過官方Google Play 商店傳播,導致超過300,000 台應用程式感染,這些應用程式偽裝成看似無害的實用程式應用程序,以完全控制受感染的設備。
旨在提供Anatsa(又稱TeaBot)、Alien、ERMAC 和Hydra的網路安全該公司ThreatFabric表示,這些惡意軟體活動不僅更加精細,而且還設計為具有較小的惡意足跡,有效確保payload 僅安裝在智慧型手機設備上,並且保證其來自在發布過程中被下載。
安裝後,這些木馬可以使用一種稱為自動轉帳系統( ATS )的工具,在用戶不知情的情況下,秘密竊取用戶密碼,甚至可以盜取基於SMS 的雙因素身份驗證代碼、擊鍵、螢幕截圖,直至耗盡用戶的銀行帳戶。現在這些應用程式已從Play 商店中刪除。
惡意應用程式列表如下:
- 兩因素身份驗證器(com.flowdivison)
- 保護衛士(com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- Master Scanner Live (com.multifuction.combine.qr)
- 二維碼掃描器2021 (com.qr.code.generate)
- QR 掃描儀(com.qr.barqr.scangen)
- PDF 文件掃描器– 掃描到PDF (com.xaviermuches.docscannerpro2)
- PDF 文件掃描器免費(com.doscanner.mobile)
- CryptoTracker (cryptolistapp.app.com.cryptotracker)
- 健身房和健身教練(com.gym.trainer.jeux)
本月早些時候,谷歌對可訪問性權限的使用進行了限制,但這類應用的運營商正越來越多地通過其他方式改進他們的策略,即便他們被迫選擇更傳統的方式(通過應用市場)安裝應用,也同樣可以利用惡意應用程式從Android設備擷取敏感資訊。
其中最主要的是一種稱為版本控制的技術,其中首先上傳應用程式的乾淨版本,然後以後續應用程式更新的形式逐步引入惡意功能。另一個策略是設計與dropper應用程式主題相符的外觀相似的指揮與控制(C2)網站,以便繞過傳統的檢測方法。
自2021 年6 月以來,ThreatFabric 在Play 商店中發現了六個Anatsa 植入程序,這些應用程式被更改為下載“更新”,然後提示用戶授予其安裝來自未知第三方來源的應用程式的權限和無障礙服務權限。
[參考]
https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
原文文章,作者:CNCSO,如若轉載,請註明出處:https://cncso.com/tw/over-300000-devices-attacked-by-4-android-trojans.html
