Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次

Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次

有超过 90 个恶意 Android 应用程序通过 Google Play 被安装超过 550 万次,用于传播恶意软件和广告软件,而 Anatsa 银行木马最近的活动量激增。

Anatsa(又名“Teabot”)是一种银行木马,针对欧洲、美国、英国和亚洲的 650 多个金融机构的应用程序。它试图窃取人们的电子银行凭证以进行欺诈交易

2024 年 2 月,Threat Fabric 报告称,自去年年底以来,Anatsa 使用生产力软件类别的各种诱饵应用程序通过 Google Play 实现了至少 150,000 次感染。Russian indicted for selling access to UScorporate networks

Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次

今天,Zscaler 报道称,Anatsa 已重返 Android 官方应用商店,目前通过两个诱饵应用程序分发:“PDF 阅读器和文件管理器”和“QR 阅读器和文件管理器”。

Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
Anatsa 投放器应用程序
来源:Zscaler

在 Zscaler 进行分析时,这两款应用程序的安装量已达到 70,000 次,这表明恶意植入程序在 Google 的审核过程中漏网的风险很高。

帮助 Anatsa 植入程序应用程序逃避检测的一件事是多阶段有效载荷加载机制,该机制涉及四个不同的步骤:

  • Dropper 应用程序从 C2 服务器检索配置和基本字符串
  • 包含恶意植入程序代码的 DEX 文件在设备上下载并激活
  • 下载带有 Anatsa 有效负载 URL 的配置文件
  • DEX 文件获取并安装恶意软件负载(APK),完成感染
Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
恶意软件加载步骤
来源:Zscaler

DEX 文件还执行反分析检查,以确保恶意软件不会在沙箱或模拟环境中执行。

一旦 Anatsa 在新感染的设备上启动并运行,它就会上传机器人配置和应用程序扫描结果,然后下载与受害者位置和个人资料相匹配的注入。

Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
恶意软件与 C2 之间的数据交换
来源:Zscaler

其他 Google Play 威胁

Zscaler 报告称,在过去几个月中,它还在 Google Play 上发现了超过 90 个恶意应用程序,这些应用程序总共被安装了 550 万次。

大多数恶意应用程序模仿工具、个性化应用程序、摄影实用程序、生产力以及健康和健身应用程序。

占据主导地位的五个恶意软件家族是 Joker、Facestealer、Anatsa、Coper 和各种广告软件。

Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次
Google Play 恶意软件(左)和植入程序类型(右)
来源:Zscaler

尽管 Anatsa 和 Coper 仅占 Google Play 总恶意下载量的 3%,但它们比其他恶意软件危险得多,能够执行设备欺诈并窃取敏感信息。

在 Google Play 上安装新应用时,请检查所请求的权限,并拒绝与高风险活动相关的权限,例如无障碍服务、短信和联系人列表。

研究人员并未透露这 90 多个应用程序的名称,也未透露是否已向谷歌报告并要求删除它们。

然而,在撰写本文时,Zscaler 发现的两个 Anatsa 植入程序应用已从 Google Play 中移除。

文章来源于互联网:Google Play 上发现超过 90 个恶意 Android 应用,安装量达 550 万次

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注