只要攻击者想赚钱，他们就会不断开发恶意程序，只要他们不断开发恶意程序，研究人员就会不断分析。例如，研究人员发布了一份关于在地下论坛上发现的新恶意程序的报告，研究人员称之为ASMCrypt，它与DoubleFinger加载程序有关。

但攻击事件层出不穷，研究人员发布了关于新版Lumma窃取程序和Zanubis Android银行木马的报告。Lumma通过从受感染的设备和已安装的应用程序中收集敏感信息，LummaC2 是轻量级的，大小仅为 150-200 KB，可以感染从 Windows 7 到 Windows 11 的所有操作系统。

LummaC2 恶意程序能够从用户的计算机收集密码、信用卡号、银行账户和其他个人信息。它还可以访问存储在 Web 浏览器（例如 Chrome 和 Firefox）中的数据，此外，LummaC2 可以在用户不知情的情况下截取用户的桌面或活动窗口，这使攻击者能够访问可用于经济利益或身份盗用的敏感数据。

Zanubis 木马是一种针对 Android 设备的恶意程序，属于银行木马，这是一种旨在盗取银行凭证的程序。之后，攻击者可以访问被攻击的账户并将受害者的资金转移到他们自己的账户中，与大多数银行木马一样，Zanubis 也利用 Android 无障碍服务来执行其操作。

这一合法的 Android 功能旨在帮助残障用户更轻松、更充实地操作他们的智能设备， 此外，Zanubis 还会收集各种设备详细信息，包括制造商、设备型号、已安装应用程序列表、受害者的联系人列表、指纹等。另外，它还可以获得电池权限，以避免在用户激活任何电池优化过程时被强制进入“睡眠”模式。Zanubis 的运营商还可以向受害者发送 SMS 消息或显示选定的通知，他们甚至可能删除特定应用程序或锁定受感染设备的屏幕。

ASMCrypt

研究人员监控着许多地下论坛，在其中一个网站上，他们看到了一则广告，上面正在宣传一种名为ASMCrypt的新密码/加载程序变体。这种类型的恶意程序背后的想法是，在没有加载过程或有效负载本身被AV/EDR等检测到的情况下加载最终有效负载。这听起来很像之前介绍的DoubleFinger加载程序。

事实上，经过仔细分析，研究人员高度相信ASMCrypt是DoubleFinger的迭代版。然而，ASMCrypt的工作方式略有不同，它更像是运行在TOR网络上的实际服务的“前台”。

那么它是如何工作的呢？首先，购买者获得ASMCrypt二进制文件，该二进制文件通过TOR网络使用硬编码凭据连接到恶意程序的后端服务。如果一切正常，将显示选项菜单：

买方可以从以下选项中进行选择：

隐形或隐形注射方式；

有效负载应注入的进程；

用于启动持久性的文件夹名称；

Stub类型：要么是伪装成Apple QuickTime的恶意程序本身，要么是侧加载恶意DLL的合法应用程序。

选择所有所需选项并按下构建按钮后，应用程序将创建一个隐藏在.png文件中的加密blob，此图像必须上传到图像托管网站。最后一点提到的恶意DLL或二进制文件也会被创建并被传播。

当恶意DLL在受害系统上执行时，它会下载.png文件，对其进行解密，将其加载到内存中，然后执行。

Lumma

Arkei窃取程序是用c++编写的，于2018年5月首次出现，在过去几年中已经多次被迭代或重新命名。它曾被称为Vidar, Oski, Mars和现在的Lumma，与Arkei有46%的重叠。随着时间的推移，所有变体的主要功能均保持不变，从加密钱包窃取缓存文件、配置文件和日志，它可以通过充当浏览器插件来实现这一点，但它也支持独立的Binance应用程序。

但首先是感染媒介。Lumma是通过一个模仿合法.docx到.pdf网站的伪造网站传播的，上传文件时，返回的文件扩展名为.pdf.exe。

Lumma于2022年8月首次被发现，当时研究人员是在新检测到的样本中被发现的。大约在同一时间，网络安全爱好者Fumik0_ tweeted 发现，Lumma是Mars的“迭代/重构”。从那时起，Lumma经历了许多变化。

截至目前，研究人员只发现一个样本（MD5 6b4c224c16e852bdc7ed2001597cde9d）具有收集系统进程列表的功能，同一个样本还使用了不同的URL与C2通信（/winsock而不是/socket.php）。

研究人员还发现了一个样本（MD5 844ab1b8a2db0242a20a6f3bbeedf6 b），它似乎是一个调试版本，当到达某些代码片段时，将向C2发送一个通知。同样，它使用了一个不同的URL（/wwindg）。

在最近的一个样本（MD5 a09daf5791d8fd4b5843cd38ae37cf97）中，攻击者将User-Agent字段更改为“HTTP/1.1”。目前尚不清楚为什么要这样做。

尽管之前的所有样本（包括上面提到的三个样本），都从C2下载了用于32位系统的附加库，以便可以解析特定的浏览器相关文件（例如密码等），但MD5 5ac51312dfd99bf4e88be482f734c79只需将整个数据库上传到C2。

MD5 d1f506b59908e3389c83a3a8e8da3276具有字符串加密算法。它们现在被十六进制编码并使用异或密钥(字符串的前4个字节)加密。

研究人员看到的最大变化之一是MD5 c2a9151e0e9f417e555cf90300b45c9，此样本支持从C2检索的动态配置文件。此配置是Base64编码的，并与配置文件的前32个字节进行异或。

“debugging” 样本的代码段

Zanubis

Zanubis是一个Android银行木马，最早出现在2022年8月左右，目标是秘鲁的金融机构和加密货币交易所用户。Zanubis的主要感染途径是通过模仿合法的秘鲁Android应用程序，然后欺骗用户启用可访问性权限，从而完全控制设备。

研究人员在2023年4月左右在野外发现了很多Zanubis样本，该恶意程序伪装成秘鲁政府组织SUNAT的官方Android应用程序。研究人员探索了恶意程序的新设计和功能，它似乎经历了几个阶段的演变，达到了一个新的复杂程度。

Zanubis是在Obfuscapk的帮助下进行混淆的，Obfuscapk是一个流行的Android APK文件混淆处理程序。在受害者授予恶意应用程序访问权限后，就可以允许其在后台运行。恶意程序使用WebView加载用于查找债务的合法SUNAT网站，这里的目的是让毫无戒心的用户相信该应用程序是SUNAT服务生态系统的一部分。

与C2的通信依赖于WebSockets和称为Socket.IO的库，后者允许恶意程序建立到C2的持久连接，这提供了故障转移选项（从WebSockets到HTTP，反之亦然）。另一个优点是，它为C2提供了一个可扩展的环境，如果需要，Zanubis的所有新感染都可以大规模地从C2接收命令(也称为事件)。一旦恶意程序启动，植入程序就会调用一个函数来检查与C2的连接，它建立到同一C2服务器的两个连接，但它们执行不同类型的操作，并且只有在C2请求时才建立第二个连接。

Zanubis没有使用预先填充和硬编码的目标应用程序列表。近年来，恶意程序开发人员倾向于在目标列表中添加或删除应用程序的名称，为了在植入程序上设置目标应用程序，C2发送事件config_packages。随事件一起发送的JSON对象包含一个数组，该数组指定恶意程序应监控的应用程序，每当屏幕上发生事件时，恶意程序就会解析目标应用程序的列表，例如恶意程序使用onAccessibilityEvent函数检测到的应用程序打开。一旦发现列表上的应用程序在设备上运行，Zanubis就会根据其配置采取两种操作来窃取受害者的信息：记录事件/密钥，或录屏。

之前，研究人员提到初始化来自受感染设备的第二个连接，这为C2提供了更多选项。Zanubis建立这个新连接后，它会向服务器发送一个VncInit事件，通知它第二个功能集的初始化已经完成，并且它会每秒发送关于屏幕渲染的信息，例如显示大小。研究人员可以假设这是运营商控制或后门感染手机的一种方式。

第二个集合中一个有趣的功能是bloqueoUpdate事件。这是恶意程序采取的最具攻击性和说服力的行动之一，它假装是Android更新，从而阻止手机被使用，随着“更新”的运行，手机仍然无法使用，以至于无法锁定或解锁，因为恶意程序会监控并阻止这些尝试。

虚假更新将用户锁定在手机之外

根据研究人员的分析，目标申请是秘鲁的银行和金融实体。另外，根据研究人员的监测数据，他们确定Zanubis专门针对该国的用户，目标应用程序列表包含40多个程序包名称。截止目前，收集的Zanubis样本能够感染任何Android手机，但它们都是以西班牙语作为系统语言编写的。

总结

恶意程序在不断发展，Lumma窃取程序就是一个例子，它有多种功能各异的变体。

Zanubis目标是成为一个功能齐全的银行木马，可以造成经济损失并窃取移动用户的个人数据，恶意代码和攻击者TTP的不断变化对防御团队来说是一个挑战。

参考及来源：https://securelist.com/crimeware-report-asmcrypt-loader-lumma-stealer-zanubis-banker/110512/