Anubis Android Banker 幾乎瞄準了 400 金融應用用戶
安全研究人員發現 Android 銀行家 Anubis 再次活躍,現在針對 394 用戶, 包括金融機構的產品, 加密貨幣錢包和虛擬支付平台. 同時, 小心 專家寫道,新銀行家的競選活動仍處於測試和優化階段.
阿努比斯 最初是在黑客論壇上發現的 2016 當它作為開源銀行木馬分發時,詳細說明如何實現客戶端和各種組件.
在 2019, 惡意軟件獲得了勒索軟件模塊並滲透到 谷歌 應用商店, 使用虛假應用程序進行注射. 在 2020, 該木馬啟動了一個 大規模網絡釣魚活動 針對用戶 250 購物和銀行應用程序.
惡意軟件的工作方式很簡單: 通常 Anubis 在真實的應用程序窗口上顯示網絡釣魚覆蓋並竊取用戶輸入的憑據.
新版本的惡意軟件, 被發現 小心 專家, 目標 394 應用程序並具有以下功能:
- 從麥克風記錄屏幕活動和聲音;
- 用於隱蔽通信和數據包傳遞的 SOCKS5 代理服務器的實現;
- 保存截圖;
- 從設備到指定收件人的 SMS 消息的大量分發;
- 檢索存儲在設備上的聯繫人;
- 發送, 閱讀, 刪除和阻止設備收到的 SMS 消息的通知;
- 掃描設備以尋找黑客感興趣的文件進行盜竊;
- 鎖定設備屏幕並顯示贖金需求;
- 發送 USSD 請求以了解帳戶狀態;
- GPS數據和計步器統計數據的收集;
- 竊取憑據的鍵盤記錄器的實現;
- 監控執行覆蓋攻擊的活動應用程序;
- 終止其他惡意程序並從設備中刪除競爭惡意軟件.
與之前版本的 Anubis 一樣, 惡意軟件檢測是否在受影響的設備上啟用了 Google Play Protected, 然後發送一個虛假的系統警告來誘騙用戶將其關閉. 這使特洛伊木馬可以完全訪問設備並可以自由地從 C 發送和接收數據&C服務器無任何障礙.
專家報告說,這次攻擊者試圖提交 fr.orange.serviceapp 7 月打包到 Google Play 商店 2021, 但後來他們的申請被拒絕了. 顯然, 這只是嘗試測試 Google 系統以防止惡意軟件, 從那時起,攻擊者只部分實施了他們的混淆方案.
迄今為止, 惡意應用程序的分佈 橙色SA, 配備了新版本的阿努比斯, 通過第三方網站發生, 社交網絡上的帖子, 在論壇上, 等等. 同時, 惡意活動不僅針對 Orange SA 的法國客戶, 還有美國用戶, 包括客戶 美國銀行, 美國銀行, 第一資本, 追趕, 太陽信託 和 富國銀行.
考慮到 Anubis 代碼早已散佈在眾多黑客論壇上, 它被許多黑客使用, 現在很難了解新版木馬的幕後黑手是誰. 此外, 攻擊者試圖隱藏他們的踪跡並使用 Cloudflare 通過 SSL 重定向所有網絡流量, 而 C&C 服務器掩碼作為使用域 https 的加密貨幣交換器://快速交易[.]和.
讓我提醒你,我們也說過 鯊魚機器人 Android 木馬竊取加密貨幣併入侵銀行賬戶.
