4 個 Android 銀行木馬通過 Google Play 傳播,感染了 300.000 多臺設備
ThreatFabric 的研究人員發現了四種不同的 Android 銀行木馬,它們在 2021 年 8 月至 11 月期間通過官方 Google Play 商店傳播。據專家稱,該惡意軟件通過多個滴管應用程序感染了超過 300,000 臺設備。
威脅行為者正在改進他們的技術,以繞過 Google 為其 Play 商店中的應用程序實施的安全檢查。繞過檢查的一個技巧包括在 Google Play 中長時間引入精心策劃的小型惡意代碼更新。威脅參與者使用的另一種技術涉及設計與滴管應用程序主題相匹配的類似命令和控制 (C2) 網站,以繞過傳統的檢測方法。
“為了讓自己更難被發現,這些植入程序背后的參與者只會手動激活在受感染設備上安裝銀行木馬,以防他們希望在世界特定地區有更多受害者。這使得自動檢測成為任何組織都難以采用的策略。” 閱讀專家發表的分析。“VirusTotal 沒有展示防病毒產品檢測隨時間的演變,但幾乎所有活動在某個時間點的 VirusTotal 上都有或有 0/62 的 FUD 分數,這證實了檢測占用空間最小的 dropper 應用程序的難度。”
Dropper旨在分發 Android 銀行木馬Anatsa、Alien、ERMAC和Hydra。
以下是用于分發上述銀行木馬的 dropper 應用程序列表:
- 兩因素身份驗證器(com.flowdivison)
- 保護衛士 (com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- Master Scanner Live (com.multifuction.combine.qr)
- 二維碼掃描器 2021 (com.qr.code.generate)
- QR 掃描儀 (com.qr.barqr.scangen)
- PDF 文檔 (com.xaviermuches.docscannerpro2)
- 掃描儀 – 掃描到 PDF
- PDF 文檔掃描儀 (com.docscanverifier.mobile)
- PDF 文檔掃描儀免費 (com.doscanner.mobile)
- CryptoTracker (cryptolistapp.app.com.cryptotracker)
- 健身房和健身教練 (com.gym.trainer.jeux)
ThreatFabric 研究人員發現了由Brunhilda威脅演員投放的多個樣本,該組織于 2021 年 7 月被發現分發 Vultur 木馬。在一個案例中,研究人員觀察到 Brunhilda 冒充二維碼創建者應用程序,用于將Hydra和 Ermac惡意軟件投放到用戶的設備是以前未開發的國家/地區,例如美國。
“在短短 4 個月的時間里, 4 個 大型 Android 家族通過 Google Play 傳播,通過多個滴管應用程序感染了 300.000多個病毒。” 報告結束。“新的 dropper 活動的一個明顯趨勢是,攻擊者專注于在 Google Play 中減少惡意足跡的加載程序,這大大增加了使用自動化和機器學習技術檢測它們的難度。
小的惡意足跡是新的 Google Play 限制(當前和計劃中的)的結果,該限制對有關應用程序權限的隱私的使用進行了限制。”
