400家金融機構成為Anubis木馬攻擊目標

近日，根據Lookout研究人員的安全報告，包括大通銀行、富國銀行、美國銀行和第一資本的客戶以及近400家其他金融機構正成為偽裝法國電信公司Orange SA官方賬戶管理平臺的惡意應用程序的目標。

研究人員表示，這僅僅是個開始。

報告警告說，一旦下載，惡意軟件（銀行木馬Anubis的一個變種）就會竊取用戶的個人數據。研究人員補充說，不僅僅是大銀行的客戶面臨風險：虛擬支付平臺和加密錢包也成為攻擊目標。

Lookout報告稱：“作為一種銀行木馬惡意軟件，Anubis的目標是從受害者的移動設備上收集有關受害者的重要數據以獲取經濟利益。”“這是通過攔截短信、鍵盤記錄、文件泄露、屏幕監控、GPS數據收集和濫用設備的無障礙服務來實現的。”

Orange Telecom帳戶管理應用程序的惡意版本于2021年7月提交給Google Play商店，后來被刪除，但研究人員警告說，他們認為該活動只是對Google防病毒保護的測試，很可能很快就會重新出現。

報告補充說：“我們發現混淆工作僅在應用程序中部分實施，并且其命令和控制(C2)服務器仍在進行其他開發。”“我們預計將來會提交更多混淆嚴重的分發。”

一旦下載到設備上，銀行木馬就會與命令和控制(C2)服務器建立連接并下載另一個應用程序以啟動SOCKS5代理。

“該代理允許攻擊者對與其服務器通信的客戶端進行身份驗證，并屏蔽客戶端與C2之間的通信。檢索和解密后，APK將在'/data/data/fr.orange.serviceapp/app_apk'中保存為'FR.apk'，”研究人員寫道。

報告稱，惡意軟件隨后會彈出一條詐騙消息，要求用戶禁用Google Play Protect，讓攻擊者完全控制。

分析師發現了fr.orange.serviceapp所針對的超過394個應用程序，包括銀行、可充值卡公司和加密貨幣錢包。Lookout團隊通過Anubis客戶端追蹤到了一個半成品的加密交易平臺。

報告解釋說，Anubis于2016年首次被發現，作為開源代碼以及針對銀行木馬網絡犯罪分子的說明在地下論壇上廣泛可用。目前看到的是Anubis代碼最新的迭代，在基本的銀行木馬上又增加了一個證書竊取功能，這意味著像微軟365基于云的平臺登錄也存在被攻擊風險。

Lookout表示目前還未看到任何與Orange SA活動相關的成功攻擊。

“雖然我們無法確定該應用程序是否已被用于成功攻擊，但我們確實知道它們的目標包括美國銀行、第一資本、大通、SunTrust和富國銀行等金融機構”Lookout表示。

報告鏈接：

https://lookout.com/blog/anubis-targets-hundreds-of-financial-apps

（來源：@GoUpSec）