ANATSA安卓银行木马病毒已经扩散至斯洛伐克、斯洛文尼亚和捷克

在2023年11月，ThreatFabric的研究人员观察到了Anatsa银行木马病毒（又称为TeaBot和Toddler）的复苏。从11月到2月期间，专家们观察到了五波不同的攻击，每一波都针对不同的地区。该恶意软件之前主要活动在英国、德国和西班牙，但最新的攻击针对了斯洛伐克、斯洛文尼亚和捷克，这表明其操作策略发生了变化。研究人员将Anatsa的活动分类为"有目标性的"，观察到威胁行为者一次性专注于3-5个地区。

根据ThreatFabric的说法，下载器应用程序被上传到了Google Play的目标地区。攻击者注意到这些应用程序通常会在"热门新免费应用"类别中排名前三，试图欺骗用户相信该应用是合法的，并且被大量用户下载。

根据ThreatFabric发布的报告，“在整个此次活动中，Anatsa的作案手法已经发展，展示出了更加复杂的策略，如滥用AccessibilityService、多阶段感染过程，以及能够绕过安卓13的限制设置。”研究人员指出，一些下载器成功地利用了辅助功能服务并绕过了Google Play的增强检测和保护机制。为了避免被检测到，这些下载器采用了多阶段方法，动态地从其C2服务器检索配置和恶意可执行文件。“在这次活动中，所有的下载器都展示了能够绕过安卓13中对辅助功能服务的限制设置的能力。” 报告继续说道。

专家们在最新的活动中观察到了五个下载器，总安装量超过了10万次。Anatsa最初是由意大利网络安全公司Cleafy于2021年3月发现的，当时它正针对西班牙、德国、意大利、比利时和荷兰的银行。TeaBot支持安卓银行木马的常见功能，并且像其他类似的恶意软件系列一样滥用Accessibility Services。

以下是该恶意软件实施的功能列表： 

能够对多个银行应用程序执行覆盖攻击，窃取登录凭证和信用卡信息 - 能够发送/拦截/隐藏短信消息 

启用按键记录功能 - 能够窃取Google身份验证代码 

能够获取对安卓设备的完全远程控制（通过Accessibility Services和实时屏幕共享） Anatsa银行木马允许操作者接管被感染设备，并代表受害者执行操作。

“对恶意应用程序进行有效检测和监控，以及观察异常的客户账户行为，对于识别和调查与设备接管移动恶意软件（如Anatsa）相关的潜在欺诈案例至关重要。” 报告总结道。

原文始发于微信公众号（黑猫安全）：ANATSA安卓银行木马病毒已经扩散至斯洛伐克、斯洛文尼亚和捷克