Anatsa银行木马通过GooglePlay上的应用重新出现
Anatsa银行木马的死灰复燃引发了网络安全专家的担忧,因为该木马针对欧洲金融机构,对移动银行安全构成重大威胁。在过去的四个月里,Anatsa活动呈现出动态演变,除了之前的英国、德国和西班牙等目标外,还针对特定地区(包括斯洛伐克、斯洛文尼亚和捷克)发起了五次不同的浪潮。
欺诈检测公司ThreatFabric于2023年11月检测到Anatsa银行木马死灰复燃
ThreatFabric检测到的Anatsa活动的最新版本展示了复杂的作案手法。它采用多种策略来渗透移动设备并执行恶意活动。尽管GooglePlay上的检测和保护机制得到了增强,Anatsa植入程序仍然成功地利用了AccessibilityService。它使他们能够自动安装有效负载。
最近的Anatsa活动的一个值得注意的方面是使用针对三星设备的制造商特定代码。这种量身定制的方法建议威胁行为者进行战略调整,以最大限度地发挥其恶意软件的影响。虽然该活动在此阶段直接影响了三星用户,但针对其他设备制造商的类似策略的威胁仍然令人担忧。
Anatsa活动有效绕过了Android13施加的AccessibilityService限制
此外,Anatsa活动有效地绕过了Android13施加的限制,使植入者能够在逃避检测的同时安装有效负载。该技术与动态加载的DEX文件相结合,增强了恶意软件的隐秘能力。它给安全引擎带来了挑战,并增加了成功感染的风险。
恶意程序接管设备的可能性会构成严重威胁,每次安装都会增加欺诈活动和未经授权访问敏感信息的风险。
BeepingComputer注意到五个与Anatsa活动相关的应用程序。其中包括手机清理器-文件资源管理器(com.volabs.androidcleaner)、PDF查看器-文件资源管理器(com.xolab.fileexplorer)、PDF阅读器-查看器和编辑器(com.jumbodub.fileexplorerpdfviewer)、手机清理器:文件资源管理器(com.xolab.fileexplorer)。appiclouds.phonecleaner)和PDF阅读器:文件管理器(com.tragisoap.fileandpdfnager)。
谷歌已对此事做出回应
谷歌发言人已告知BeepingComputer,GooglePlay已删除与此活动相关的所有5个应用程序。他补充说,GooglePlayProtect已经可以保护Android设备免受该恶意软件已知版本的侵害。默认情况下,此功能在具有GooglePlay服务的Android设备上处于启用状态。
标签: