在2023年11月,ThreatFabric的研究人员观察到了Anatsa银行木马病毒(又称为TeaBot和Toddler)的复苏。从11月到2月期间,专家们观察到了五波不同的攻击,每一波都针对不同的地区。该恶意软件之前主要活动在英国、德国和西班牙,但最新的攻击针对了斯洛伐克、斯洛文尼亚和捷克,这表明其操作策略发生了变化。研究人员将Anatsa的活动分类为"有目标性的",观察到威胁行为者一次性专注于3-5个地区。
根据ThreatFabric的说法,下载器应用程序被上传到了Google Play的目标地区。攻击者注意到这些应用程序通常会在"热门新免费应用"类别中排名前三,试图欺骗用户相信该应用是合法的,并且被大量用户下载。
根据ThreatFabric发布的报告,“在整个此次活动中,Anatsa的作案手法已经发展,展示出了更加复杂的策略,如滥用AccessibilityService、多阶段感染过程,以及能够绕过安卓13的限制设置。”研究人员指出,一些下载器成功地利用了辅助功能服务并绕过了Google Play的增强检测和保护机制。为了避免被检测到,这些下载器采用了多阶段方法,动态地从其C2服务器检索配置和恶意可执行文件。“在这次活动中,所有的下载器都展示了能够绕过安卓13中对辅助功能服务的限制设置的能力。” 报告继续说道。
专家们在最新的活动中观察到了五个下载器,总安装量超过了10万次。Anatsa最初是由意大利网络安全公司Cleafy于2021年3月发现的,当时它正针对西班牙、德国、意大利、比利时和荷兰的银行。TeaBot支持安卓银行木马的常见功能,并且像其他类似的恶意软件系列一样滥用Accessibility Services。
以下是该恶意软件实施的功能列表:
能够对多个银行应用程序执行覆盖攻击,窃取登录凭证和信用卡信息 - 能够发送/拦截/隐藏短信消息
启用按键记录功能 - 能够窃取Google身份验证代码
能够获取对安卓设备的完全远程控制(通过Accessibility Services和实时屏幕共享) Anatsa银行木马允许操作者接管被感染设备,并代表受害者执行操作。
“对恶意应用程序进行有效检测和监控,以及观察异常的客户账户行为,对于识别和调查与设备接管移动恶意软件(如Anatsa)相关的潜在欺诈案例至关重要。” 报告总结道。
原文始发于微信公众号(黑猫安全):ANATSA安卓银行木马病毒已经扩散至斯洛伐克、斯洛文尼亚和捷克
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论