SSL 证书
数字证书
安全运维
域名
企业服务
SSL 证书
数字证书
安全运维
域名
企业服务
博客 > 90多个恶意应用程序潜伏在Google Play上,总下载量超550万次
浏览量:329次评论:0次
作者:锐成网络整理时间:2024-05-29 17:19:34
近日,Zscaler透露,Zscaler的研究人员在过去几个月中发现90多个恶意应用程序潜伏在Google Play上,用于传播各种恶意软件,包括Anatsa 银行木马,相关数据显示,这些恶意应用程序包括各种 PDF 和二维码阅读器以及文件管理器、编辑器和翻译器,总下载量超550万次!
Anatsa(又名 Teabot)是一种复杂的木马程序,它首先使用对用户无害的第二级滴管应用程序,欺骗用户安装有效载荷。一旦安装,它就会使用一系列规避策略,从全球金融应用程序中窃取敏感的银行凭证和金融信息。
Anatsa通过使用覆盖和可访问性技术来实现这一目标,使其能够谨慎地拦截和收集数据。
据 Zscaler 称,Anatsa 是目前在 Google Play 上传播的最具 “影响力 ”的恶意软件之一,其他恶意软件还包括 Joker fleeceware、窃取凭证的 Facestealer 以及各种类型的广告软件。他们还在其中发现了 Coper 木马。
此外,Zscaler 的分析表明,移动应用商店中最常用来隐藏恶意软件的应用程序是 Anatsa 所潜伏的工具等,其次是个性化和摄影应用程序。
躲避 Google Play 恶意软件检测
Anatsa可以从650多个金融应用程序中窃取数据,其背后的攻击者以前主要针对欧洲的安卓用户;然而,Zscaler报告称,该恶意软件也在 “积极瞄准 ”美国和英国的银行应用程序。研究人员指出,运营商似乎还将目标扩大到了更多欧洲国家(包括德国、西班牙和芬兰)以及韩国和新加坡的金融机构。
据 Zscaler 称,虽然谷歌已经做出了巨大努力来阻止恶意应用程序进入其移动应用程序商店,但 Anatsa 使用的攻击载体却可以躲过这些保护措施。它通过一种 “滴管”(dropper)技术,使初始应用程序在安装时看起来是干净的。
Zscaler 研究人员提到:“一旦安装完毕,应用程序就会从命令与控制(C2)服务器下载恶意代码或阶段性有效载荷,伪装成无害的应用程序更新。”研究人员写道:“这种战略方法使恶意软件能够上传到官方谷歌应用商店并逃避检测。”
攻击模式下的 Anatsa
尽管研究人员发现了许多恶意应用程序,但他们特别观察到两个恶意 Anatsa 有效载荷是通过冒充PDF和 二维码阅读器应用程序传播的。他们指出,这些类型的应用程序通常会诱使用户大量安装,这反过来又 “进一步欺骗受害者,使其相信这些应用程序是真实的”。
研究人员指出,该木马在其攻击载体中还使用了其他欺骗手段,使用户或威胁猎手难以发现。在执行之前,它会检查设备环境和设备类型,很可能是为了检测沙盒和分析环境;然后,只有在安全无虞的情况下,它才会加载第三阶段和最终有效载荷。
一旦加载,Anatsa 就会请求各种权限,包括短信和可访问性选项,并与 C2 服务器建立通信,以开展各种活动,如注册受感染设备和检索用于代码注入的目标应用程序列表。
时刻警惕移动网络威胁
尽管谷歌已经尽了最大努力,但迄今为止,该公司仍无法阻止恶意 Android 应用程序进入 Google Play 商店。Zscaler 的研究人员指出:"随着网络犯罪分子的不断发展,恶意软件的制作手法也越来越狡猾,企业必须采取积极主动的安全措施来保护自己的系统和敏感的财务信息。”
他们建议,为了帮助企业移动用户避免受到威胁,企业应采用“零信任 ”架构,该架构侧重于以用户为中心的安全,确保所有用户在访问任何资源之前都经过身份验证和授权,无论其设备或位置如何。
安卓用户可以通过以下方式保护企业网络:
来源参考来源:darkreading
相关文章推荐
2024-07-26 15:11:59
2024-07-26 11:47:19
2024-07-25 17:35:47
2024-07-25 14:39:03
2024-07-25 11:39:51
热门工具
标签选择
阅读排行
官方咨询热线:400-002-9968
官方邮箱:business@racent.com
地址:上海市普陀区真南路1199弄智创Top8号楼602A单元
商务合作:business@racent.com
投诉意见:media@racent.com
我的评论
还未登录?点击登录