4個安卓銀行木馬已感染超30萬臺設備

ThreatFabric 的研究人員發現了四種不同的安卓銀行木馬，它們在2021年8月至11月期間通過官方Google Play商店傳播。據專家稱，該惡意軟件通過多個滴管應用程序感染了超過 300,000 臺設備。

據防欺詐機構 ThreatFabric 的研究人員稱，惡意軟件植入程序偽裝成 PDF 掃描儀、二維碼掃描儀、加密貨幣應用程序、自我訓練、身份驗證器和安全應用程序，總共被下載超過 310,000 次。 

在這種情況下的一線希望是，并非所有下載它們的用戶最終都背負著銀行木馬：惡意軟件的交付僅保留給特定感興趣區域的用戶，并且是手動執行的。

威脅行為者正在改進他們的技術，以繞過Google為其Play商店中的應用程序實施的安全檢查。繞過檢查的一個技巧包括在 Google Play 中長時間引入精心策劃的小型惡意代碼更新。威脅參與者使用的另一種技術涉及設計與滴管應用程序主題相匹配的類似命令和控制 (C2) 網站，以繞過傳統的檢測方法。 

“為了讓自己更難被發現，這些植入程序背后的參與者只會手動激活在受感染設備上安裝銀行木馬，以防他們希望在世界特定地區有更多受害者。這使得自動檢測成為任何組織都難以采用的策略。” 閱讀專家發表的分析。“VirusTotal 沒有展示防病毒產品檢測隨時間的演變，但幾乎所有活動在某個時間點的 VirusTotal 上都有或有 0/62 的 FUD 分數，這證實了檢測占用空間最小的 dropper 應用程序的難度。”

Dropper旨在分發 Android 銀行木馬Anatsa、Alien、ERMAC和Hydra。

以下是用于分發上述銀行木馬的 dropper 應用程序列表 ：

ThreatFabric 研究人員發現了由Brunhilda威脅演員投放的多個樣本，該組織于 2021 年 7 月被發現分發 Vultur 木馬。在一個案例中，研究人員觀察到 Brunhilda 冒充二維碼創建者應用程序，用于將Hydra和 Ermac惡意軟件投放到用戶的設備是以前未開發的國家/地區，例如美國。

“在短短4個月的時間里， 4個大型Android家族通過Google Play傳播，通過多個滴管應用程序感染了300.000多個病毒。” 報告結束。“新的dropper活動的一個明顯趨勢是，攻擊者專注于在 Google Play 中減少惡意足跡的加載程序，這大大增加了使用自動化和機器學習技術檢測它們的難度。

小的惡意足跡是新的 Google Play 限制（當前和計劃中的）的結果，該限制對有關應用程序權限的隱私的使用進行了限制。”