Anubis Android Banker 几乎瞄准了 400 金融应用用户
安全研究人员发现 Android 银行家 Anubis 再次活跃,现在针对 394 用户, 包括金融机构的产品, 加密货币钱包和虚拟支付平台. 同时, 小心 专家写道,新银行家的竞选活动仍处于测试和优化阶段.
阿努比斯 最初是在黑客论坛上发现的 2016 当它作为开源银行木马分发时,详细说明如何实现客户端和各种组件.
在 2019, 恶意软件获得了勒索软件模块并渗透到 谷歌 应用商店, 使用虚假应用程序进行注射. 在 2020, 该木马启动了一个 大规模网络钓鱼活动 针对用户 250 购物和银行应用程序.
恶意软件的工作方式很简单: 通常 Anubis 在真实的应用程序窗口上显示网络钓鱼覆盖并窃取用户输入的凭据.
新版本的恶意软件, 被发现 小心 专家, 目标 394 应用程序并具有以下功能:
- 从麦克风记录屏幕活动和声音;
- 用于隐蔽通信和数据包传递的 SOCKS5 代理服务器的实现;
- 保存截图;
- 从设备到指定收件人的 SMS 消息的大量分发;
- 检索存储在设备上的联系人;
- 发送, 阅读, 删除和阻止设备收到的 SMS 消息的通知;
- 扫描设备以寻找黑客感兴趣的文件进行盗窃;
- 锁定设备屏幕并显示赎金需求;
- 发送 USSD 请求以了解帐户状态;
- GPS数据和计步器统计数据的收集;
- 窃取凭据的键盘记录器的实现;
- 监控执行覆盖攻击的活动应用程序;
- 终止其他恶意程序并从设备中删除竞争恶意软件.
与之前版本的 Anubis 一样, 恶意软件检测是否在受影响的设备上启用了 Google Play Protected, 然后发送一个虚假的系统警告来诱骗用户将其关闭. 这使特洛伊木马可以完全访问设备并可以自由地从 C 发送和接收数据&C服务器无任何障碍.
专家报告说,这次攻击者试图提交 fr.orange.serviceapp 7 月打包到 Google Play 商店 2021, 但后来他们的申请被拒绝了. 显然, 这只是为了测试 Google 系统对恶意软件的防护, 从那以后,攻击者只部分实施了他们的混淆方案.
迄今为止, 恶意应用程序的分布 橙色SA, 配备了新版本的阿努比斯, 通过第三方网站发生, 社交网络上的帖子, 在论坛上, 等等. 同时, 恶意活动不仅针对 Orange SA 的法国客户, 还有美国用户, 包括客户 美国银行, 美国银行, 第一资本, 追赶, 太阳信托 和 富国银行.
考虑到 Anubis 代码早已散布在众多黑客论坛上, 它被许多黑客使用, 现在很难了解新版木马的幕后黑手是谁. 此外, 攻击者试图隐藏他们的踪迹并使用 Cloudflare 通过 SSL 重定向所有网络流量, 而 C&C 服务器掩码作为使用域 https 的加密货币交换器://快速交易[.]和.
让我提醒你,我们也说过 鲨鱼机器人 Android 木马窃取加密货币并入侵银行账户.
