近日，Zscaler透露，Zscaler的研究人員在過去幾個月中發(fā)現(xiàn)90多個惡意應(yīng)用程序潛伏在Google Play上，用于傳播各種惡意軟件，包括Anatsa 銀行木馬，相關(guān)數(shù)據(jù)顯示，這些惡意應(yīng)用程序包括各種 PDF 和二維碼閱讀器以及文件管理器、編輯器和翻譯器，總下載量超550萬次！

Anatsa（又名 Teabot）是一種復(fù)雜的木馬程序，它首先使用對用戶無害的第二級滴管應(yīng)用程序，欺騙用戶安裝有效載荷。一旦安裝，它就會使用一系列規(guī)避策略，從全球金融應(yīng)用程序中竊取敏感的銀行憑證和金融信息。

Anatsa通過使用覆蓋和可訪問性技術(shù)來實(shí)現(xiàn)這一目標(biāo)，使其能夠謹(jǐn)慎地攔截和收集數(shù)據(jù)。

據(jù) Zscaler 稱，Anatsa 是目前在 Google Play 上傳播的最具 “影響力 ”的惡意軟件之一，其他惡意軟件還包括 Joker fleeceware、竊取憑證的 Facestealer 以及各種類型的廣告軟件。他們還在其中發(fā)現(xiàn)了 Coper 木馬。

此外，Zscaler 的分析表明，移動應(yīng)用商店中最常用來隱藏惡意軟件的應(yīng)用程序是 Anatsa 所潛伏的工具等，其次是個性化和攝影應(yīng)用程序。

躲避 Google Play 惡意軟件檢測

Anatsa可以從650多個金融應(yīng)用程序中竊取數(shù)據(jù)，其背后的攻擊者以前主要針對歐洲的安卓用戶；然而，Zscaler報告稱，該惡意軟件也在 “積極瞄準(zhǔn) ”美國和英國的銀行應(yīng)用程序。研究人員指出，運(yùn)營商似乎還將目標(biāo)擴(kuò)大到了更多歐洲國家（包括德國、西班牙和芬蘭）以及韓國和新加坡的金融機(jī)構(gòu)。

據(jù) Zscaler 稱，雖然谷歌已經(jīng)做出了巨大努力來阻止惡意應(yīng)用程序進(jìn)入其移動應(yīng)用程序商店，但 Anatsa 使用的攻擊載體卻可以躲過這些保護(hù)措施。它通過一種 “滴管”（dropper）技術(shù)，使初始應(yīng)用程序在安裝時看起來是干凈的。

Zscaler 研究人員提到：“一旦安裝完畢，應(yīng)用程序就會從命令與控制（C2）服務(wù)器下載惡意代碼或階段性有效載荷，偽裝成無害的應(yīng)用程序更新。”研究人員寫道：“這種戰(zhàn)略方法使惡意軟件能夠上傳到官方谷歌應(yīng)用商店并逃避檢測。”

攻擊模式下的 Anatsa

盡管研究人員發(fā)現(xiàn)了許多惡意應(yīng)用程序，但他們特別觀察到兩個惡意 Anatsa 有效載荷是通過冒充PDF和 二維碼閱讀器應(yīng)用程序傳播的。他們指出，這些類型的應(yīng)用程序通常會誘使用戶大量安裝，這反過來又 “進(jìn)一步欺騙受害者，使其相信這些應(yīng)用程序是真實(shí)的”。

研究人員指出，該木馬在其攻擊載體中還使用了其他欺騙手段，使用戶或威脅獵手難以發(fā)現(xiàn)。在執(zhí)行之前，它會檢查設(shè)備環(huán)境和設(shè)備類型，很可能是為了檢測沙盒和分析環(huán)境；然后，只有在安全無虞的情況下，它才會加載第三階段和最終有效載荷。

一旦加載，Anatsa 就會請求各種權(quán)限，包括短信和可訪問性選項(xiàng)，并與 C2 服務(wù)器建立通信，以開展各種活動，如注冊受感染設(shè)備和檢索用于代碼注入的目標(biāo)應(yīng)用程序列表。

時刻警惕移動網(wǎng)絡(luò)威脅

盡管谷歌已經(jīng)盡了最大努力，但迄今為止，該公司仍無法阻止惡意 Android 應(yīng)用程序進(jìn)入 Google Play 商店。Zscaler 的研究人員指出："隨著網(wǎng)絡(luò)犯罪分子的不斷發(fā)展，惡意軟件的制作手法也越來越狡猾，企業(yè)必須采取積極主動的安全措施來保護(hù)自己的系統(tǒng)和敏感的財務(wù)信息。”

他們建議，為了幫助企業(yè)移動用戶避免受到威脅，企業(yè)應(yīng)采用“零信任 ”架構(gòu)，該架構(gòu)側(cè)重于以用戶為中心的安全，確保所有用戶在訪問任何資源之前都經(jīng)過身份驗(yàn)證和授權(quán)，無論其設(shè)備或位置如何。

安卓用戶可以通過以下方式保護(hù)企業(yè)網(wǎng)絡(luò)：

• 在連接到企業(yè)網(wǎng)絡(luò)時不下載移動應(yīng)用程序；
• 或者即使從可信的應(yīng)用程序商店下載應(yīng)用程序，也要進(jìn)行適當(dāng)?shù)蔫b別，并對可疑的應(yīng)用程序活動保持警惕。

來源參考來源：darkreading

相關(guān)閱讀：如何預(yù)防惡意軟件的攻擊？10項(xiàng)防御措施來幫您！