据TheHackerNews网站报道,在2021年8月至2021年10月期间,四种不同的Android系统银行木马通过官方GooglePlay商店分发。该方法已感染超过300,000台设备。这些应用程序伪装成各种普通APP。一旦被招募,他们就可以悄悄地控制被感染的设备。网络安全公司ThreatFabric表示,这四种恶意软件变种,被称为Anatsa(又名TeaBot)、Alien、ERMAC和Hydra,现在它们的活动似乎非常细化,能够仅将有效负载部署到特定区域的设备并防止恶意软件被下载由其他地区在分配过程中。4个伪装成其他应用程序的恶意程序的活动时间表。通过其他方式改进他们的策略,其中最重要的就是版本控制技术,即先在应用商店上传一个正常版本,然后通过后续更新逐步添加恶意功能。今年6月以来,ThreatFabric在GooglePlay商店发现了6个被植入Anatsa银行木马的恶意程序。这些应用程序会“更新”并提示用户授予他们安装应用程序和无障碍服务的权限。.另一种策略是设计与命令和控制(C2)网站相匹配的外观,以规避传统检测方法。安全研究人员在今年7月发现,一种名为Vultur的远程访问木马巧妙地将自己伪装成可以创建QR码的应用程序,以向美国用户提供Hydra和ERMAC恶意软件。不适用于美国市场。此外,下载量超过10000次的健身软件GymDrop被发现通过引导下载新的健身包植入外星人银行木马payload,甚至合法开发者网站充当C2服务器获取下载所需配置由恶意软件。参考来源:https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
