服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - 服务器安全 - 四种Android 银行木马已在今年感染超30万台设备

四种Android 银行木马已在今年感染超30万台设备

2021-12-01 23:05FreeBufZicheng 服务器安全

这些恶意应用伪装成各类正常APP在Google Play上传播,一旦中招,就能悄然控制受感染的设备。

四种Android 银行木马已在今年感染超30万台设备

据The Hacker News网站报道,2021年8月至10月间,4种不同的Android系统银行恶意程序以通过官方Google Pllay商店传播的方式,感染了超过30万台设备,这些应用伪装成各类正常APP,一旦中招,就能悄然控制受感染的设备。

网络安全公司 ThreatFabric表示,这4种恶意软件被称为Anatsa(又名 TeaBot)、Alien、ERMAC 和 Hydra,目前它们的活动显得十分精细化,能够仅针对特定地区的设备部署有效载荷,并防止恶意软件在发布过程中被其它地区下载。

四种Android 银行木马已在今年感染超30万台设备

4种恶意程序通过伪装成其它应用活动的时间线

虽然在月初,谷歌制定了限制使用可访问性权限,旨在遏制恶意应用程序从 Android 设备捕获敏感信息,但此类应用程序越来越多地通过其他方式改进他们的策略,其中最主要的一种方式为版本控制技术,即首先在应用商店中上传一个正常版本,然后通过后续更新的方式逐步加入恶意功能。自今年 6 月以来,ThreatFabric在Google Play 商店中发现了六个植入有Anatsa银行木马的恶意程序,这些应用程序通过“更新”的方式,提示用户授予其安装应用程序的权限和辅助功能服务权限。

另一种策略是设计一种与命令和控制(C2)网站相匹配的外观,以避开传统的检测方法。安全人员在今年7月发现名为Vultur的远程访问木马,巧妙地伪装成一个可以创建二维码的应用程序,以此来向美国用户投放Hydra和ERMAC恶意软件,而这两个恶意软件以前并未针对美国市场。

此外,一款下载次数超过1万次的健身软件——GymDrop,被发现通过引导下载新的健身运动包来植入Alien银行木马的有效载荷,甚至合法的开发者网站还充当了C2服务器来获取下载恶意软件所需的配置。

参考来源:https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html

原文链接:https://www.freebuf.com/articles/306600.html

延伸 · 阅读

精彩推荐