研究人员发现，在 Google Play 商店中，利用看似合法的 PDF 和二维码阅读器应用传播 Anatsa 银行木马的尝试显著增加。

网络安全公司 Zscaler 的研究人员表示，这种恶意软件也称为 TeaBot，它使用对用户看似无害的植入器应用程序，诱骗用户在不知情的情况下安装恶意负载。

一旦安装，Anatsa 就会从各种全球金融应用程序中提取敏感的银行凭证和财务信息。它通过覆盖和可访问性技术实现这一点，从而可以秘密地拦截和收集数据。

Anatsa 银行木马的传播和影响

在 Google Play 商店中发现了两个与 Anatsa 相关的恶意负载，由威胁参与者分发。该活动冒充 PDF 阅读器和二维码阅读器应用程序来吸引大量安装。分析时安装量已超过 70,000 次，这进一步让受害者相信这些应用程序的合法性。

Anatsa 使用从命令和控制 (C&C) 服务器检索的远程有效载荷来执行其他恶意活动。dropper 应用程序包含指向远程服务器的编码链接，后续阶段的有效载荷从这些链接下载。除了有效载荷外，恶意软件还会从远程服务器获取配置文件以执行下一阶段的攻击。

Anatsa 感染步骤

Anatsa 银行木马通过使用植入器应用程序并执行有效负载来启动其恶意活动。

滴管应用：

假的二维码应用程序下载并加载DEX文件。
应用程序使用反射从已加载的 DEX 文件中调用代码。
从 C＆C 服务器下载用于加载 DEX 文件的配置。

有效载荷执行：

下载下一阶段的有效载荷后，Anatsa 会对设备环境执行检查，以检测分析环境和恶意软件沙箱。
验证成功后，它会从远程服务器下载第三阶段也是最后一阶段的有效负载。

恶意活动：

该恶意软件将未压缩的原始清单数据注入 APK，故意破坏清单文件中的压缩参数以阻碍分析。
执行后，恶意软件会解码所有编码字符串，包括用于 C＆C 通信的字符串。
它连接 C＆C 服务器以注册受感染的设备并检索用于代码注入的目标应用程序列表。

数据盗窃：

在收到金融应用程序的软件包名称列表后，Anatsa 会扫描设备以查找这些应用程序。
如果发现目标应用程序，Anatsa 会将其传达给 C＆C 服务器。
然后，C＆C 服务器为银行业务提供一个伪造的登录页面。
此虚假登录页面显示在启用 JavaScript 接口 (JSI) 的 Web 视图中，诱骗用户输入银行凭证，然后将凭证传回 C&C 服务器。

Anatsa 银行木马攻击链（来源：Zscaler）
Anatsa 银行木马病毒正在日益猖獗，它会伪装成良性应用程序入侵 Google Play 商店。它使用覆盖和可访问性等高级技术，偷偷窃取敏感的银行凭证和财务数据。通过注入恶意负载和使用欺骗性登录页面，Anatsa 对移动银行安全构成了重大威胁。

阻止 Anatsa 木马的最佳做法

为了防范此类威胁，Cyble 的研究和情报实验室建议遵循以下基本的网络安全最佳实践：

从官方来源安装软件：仅从官方应用商店（例如 Google Play Store 或 iOS App Store）下载软件。
使用信誉良好的安全软件：确保设备（包括个人电脑、笔记本电脑和移动设备）使用信誉良好的防病毒和互联网安全软件。
强密码和多因素身份验证：尽可能使用强密码并启用多因素身份验证。
谨慎使用链接：打开通过短信或电子邮件收到的链接时要小心。
启用 Google Play 保护：始终在 Android 设备上启用 Google Play 保护。
监控应用程序权限：警惕授予应用程序的权限。
定期更新：保持设备、操作系统和应用程序为最新版本。

Cyble 的研究人员表示，通过遵守这些做法，用户可以建立起抵御恶意软件和其他网络威胁的强大第一道防线。

文章原文链接:https://www.anquanke.com/post/id/296880