成功绕过 Android 安全防护，Anatsa木马瞄准欧洲国家银行

[Mobot]

2023年11月，ThreatFabric的研究人员发现Anatsa银行木马复苏，该木马也被称为TeaBot或Toddler。在11月到2月之间，该银行木马共发起五波不同的攻击浪潮，每一波都针对不同区域。
在这之前，Anatsa主要针对英国、德国和西班牙，但最新的活动目标是斯洛伐克、斯洛文尼亚和捷克等国家，这表明其运营策略发生了变化。
研究人员认为，Anatsa的行为是“有针对性的”，且最近的攻击主要集中3到5个区域。
据ThreatFabric所述，这些携带恶意软件的应用被上传到目标地区的Google Play商店，且在“最新免费应用”分类中跻身前三名，容易让用户误以为这是一款合法且被众多用户下载的应用。
在这场攻击活动中，Anatsa的作案手法已经演变，采取了更高级的策略，包括滥用Android辅助功能服务、实施多阶段感染，并成功绕过Android 13版本中的安全限制。
一些携带恶意软件的应用能够有效利用辅助功能服务，绕过Google Play商店的强化检测与防护措施。为了避免被检测到，这些应用分步骤实施策略，从其C2（指挥与控制）服务器获取配置和恶意文件。
报告进一步指出，这场攻击行动中所有携带恶意软件的应用都已具备绕开Android 13对辅助服务限制设置的能力。
Anatsa支持Android银行木马的常见功能，像其他类似的恶意软件家族一样，滥用辅助功能服务。以下是该恶意软件实施的功能列表：
能够对多个银行应用发起覆盖攻击（Overlay Attacks），窃取登录凭证和信用卡信息
能够发送/截取/隐藏短信
启用键盘记录功能
能够窃取谷歌验证器的验证码
能够通过辅助服务和实时屏幕共享功能，获得对安卓设备的完全远程控制权
需要注意的是，Anatsa银行木马允许操作者接管被感染的设备，并代表受害者执行操作。因此，有效检测和监控恶意应用，并观察客户账户的异常行为，对于识别和调查与Anatsa这类接管型移动恶意软件相关的潜在欺诈案件至关重要。
参考来源：Anatsa Android banking Trojan expands to new countries (securityaffairs.com)

[0] Anatsa Android banking Trojan expands to new countries (securityaffairs.com): https://securityaffairs.com/159344/malware/anatsa-banking-trojan-resurgence.html


https://www.freebuf.com/news/392076.html

Tue, 20 Feb 2024 13:59:38 +0800

--
Mobot

If you have any comments about this article, you can simply leave them by replying to this post. However, if you have any comments about this bot, please leave your message in the cn.fan group.