一批安卓网银木马现身:被清理前被下载达30万次

移动安全公司ThreatFabric的研究人员近日公布一批通过Google Play传播的网银木马，被清理前下载量超过30万次。

据悉，在2021年08月至10月之间，四种不同的安卓网银木马伪装成正常的APP应用躲过了谷歌应用商店的官方检测。

自今年六月份以来，ThreatFabric安全人员在Google Play应用商店发现了六款被植入了Anatsa银行木马的恶意程序。

Threat Fabric在近期的博文中详细阐述了被调查的九款dropper恶意软件，其中造成最多感染的，被称作Anatsa家族。

它们伪装成二维码扫描软件、PDF扫描软件、加密货币钱包等合法应用，被不知情的用户下载到自己的安卓手机中。

这些恶意应用最初被安装时看起来很合法且非常有用，但过段时间以后这些应用就会通过弹窗等方式要求用户更新。

并非所有用户收到的推送都具恶意，攻击者会选择性对感兴趣的地区推送恶意更新，应用被更新后还可以正常使用。

正是通过这样的策略，导致不明所以的用户在谷歌应用商店对这些恶意应用或存在潜在风险的应用给与了诸多好评。

除此之外黑客还雇人给恶意软件刷好评，并诱导用户通过更新提示授予其安装应用程序的权限和辅助功能服务权限。

由此可见攻击者为了获得用户认可、以及Google Play自动化(安全沙箱)和机器学习审核流程中逃逸，可谓煞费苦心。

当然，这也就是为什么在早期的VirusTotal恶意软件检测过程中，这些恶意软件并不会在第一时间被揪出的原因之一。

此外，为了躲避Google Play应用商店的检测机制以及安全雷达追踪，这些恶意软件还采取了其他的一系列技术手段。

比如在大多数情况下，黑客只有在检查受感染设备的地址位置、或通过增量更新之后，才会去手动的部署恶意代码。

于是它们的活动便显得十分精细，能针对特定地区设备部署有效载荷并防止恶意应用在发布过程中被其他地区下载。

这种操作居然可以成功躲过基于自动化流程的传统恶意软件检测方案，不得不让人们对于当下的安全思路产生思考。

黑客通过这些恶意应用即可暗中窃取用户登录凭证、双因素验证码、记录按键和屏幕截图，以远程访问和自动转账。

这些受害者在毫不知情的情况下，就会被黑客无情地清空账户，账户里的资金被成功转移到幕后黑手控制的账户中。

研究人员将这四种恶意软件称之为Anatsa(TeaBot)、Alien、ERMAC和Hydra，其特点是植入了Gymdrop恶意负载。

当然，我们不可否认谷歌官方在软件上架时安全的策略，比如Google Play制定的关于限制使用可访问性权限的策略。

该策略旨在遏制恶意应用程序从安卓设备捕获敏感信息，也正是该策略的存在导致这些恶意应用的攻击面大大缩小。

但毕竟道高一尺魔高一丈，被下载安装到用户设备上的应用不受官方保护，所以黑客便通过版本控制技术轻易得逞。

这样的在应用商店上传一个正常版本，再通过后续更新加入恶意功能、诱导用户授予权限的方式令人让人防不胜防。

所以笔者看来，提高安全意识、定期更新和扫描安卓设备是多么的重要，毕竟通过官方渠道下载应用也有可能中招。

当然，对于使用国内定制版系统的用户就另当别论了，现在国内应用商店的管控还算严格，但定期杀毒还是要做到。