威胁预警 | Anatsa 银行木马被下载超过数万次

news2024/11/28 1:35:08

最近,研究人员发现 Anatsa 银行木马的传播有所抬头。这种复杂的恶意软件欺骗受害者在不知不觉中安装后,通过全球的金融应用程序来窃取敏感凭据和财务信息。攻击者通过多种技术拦截和收集数据。

概述

Anatsa 是已知的安卓银行木马,针对全球超过 650 各金融机构的应用程序进行窃密,主要受害者都在欧洲。原来主要针对美国和英国的银行应用程序,后续进一步将攻击目标扩大到德国、西班牙、芬兰、韩国与新加坡的银行应用程序。

Anatsa 银行木马在安装时看起来人畜无害,但安装后应用程序会从 C&C 服务器下载恶意 Payload,以更新的名义进入受害者的手机。这种方式使得恶意软件可以绕过安全检测,堂而皇之地上传到 Google Play 供用户下载。

攻击过程

Anatsa 银行木马在攻击行动中的分发流程如下所示:

1717256386_665b40c26a09da7e881c7.png!small?1717256384063

攻击链

最近,研究人员发现了两个与 Anatsa 银行木马有关的恶意 Payload,通过 Google Play 进行分发。攻击者通常将恶意软件伪装成 PDF 阅读器和二维码扫描工具,吸引用户大量及逆行安装。下载量越高,用户越容易相信这些应用程序是真实且无害的。截至撰写本文时,两个应用程序已经累计超过 7 万次安装。

以下为两个应用程序的 Google Play 页面截图,看上去人畜无害但其实都是恶意软件。

1717256411_665b40db0a1374d590baa.png!small?1717256408889

应用程序下载页面

技术分析

如前所述,Anatsa 银行木马利用从 C&C 服务器下载的 Payload 进行下一步的恶意活动。除了下一阶段的 Payload,还会从 C&C 服务器下载配置文件来执行 Payload。

1717256439_665b40f763a03159b06b1.png!small?1717256437509

Payload 与配置下载

下载的 DEX 文件,由虚假的应用程序加载:

1717256464_665b4110db2d5b486ec42.png!small?1717256463330

请求下载 DEX 文件

应用程序利用反射从加载的 DEX 文件中调用代码,再下载所需要的配置文件:

1717256484_665b4124aaf17c44bea68.png!small?1717256482478

下载配置文件

成功下载下一阶段 Payload 后,Anatsa 银行木马会对设备环境和设备类型进行一系列检查,判断是否处于分析环境。验证通过后,再从 C&C 服务器下载后续阶段的 Payload,如下所示:

1717256517_665b4145abcadfa7d4c3c.png!small?1717256515858

下载 Payload

Anatsa 银行木马将未压缩的原始数据注入 APK,还故意破坏压缩参数以阻碍分析。破损的 ZIP 文件头如下所示:

1717256540_665b415c05d545842e5ea.png!small?1717256537871

反分析技术

加载 APK 后,恶意软件会向受害者请求各种权限,包括短信读取与各种辅助功能。该恶意软件将最终的 DEX Payload 隐藏在文件中。运行时通过内嵌的静态密钥,解密释放 DEX 文件。

1717256553_665b4169f169432314b4f.png!small?1717256551900

银行木马

执行后,Anatsa 银行木马会解码所有编码的字符串。再与 C&C 服务器建立连接,执行后续各种恶意攻击,如检索应用程序列表进行代码注入。为了盗窃金融应用程序的数据,Anatsa 银行木马下载了目标列表如下所示:

1717256570_665b417a203512db4d379.png!small?1717256568078

请求配置

可以使用密钥解密异或加密的请求响应数据:

1717256582_665b41860aa67c2a6fb8a.png!small?1717256579909

解密数据

获取应用程序列表后,恶意软件会检查失陷设备上是否存在对应的应用程序。如果存在,C&C 服务器会返回对应应用程序虚假的登录页面,如下所示:

1717257064_665b43686f6a424c3acde.png!small?1717257065545

特定应用程序

虚假登录页面加载在启用了 JavaScript 接口(JSI)的 WebView 中,诱使受害者提供登录凭据。一旦受害者输入了相关凭据信息,数据就会立刻回传给攻击者。

Google Play 趋势

攻击者最常伪装的应用程序类型就是工具类,占比近 40%。个性化应用程序和摄影类应用程序分别占到 20% 与 13%。具体应用程序分类如下所示:

1717256675_665b41e3bdb0cc447778f.png!small?1717256673401

应用程序类别

选择工具类应用程序作为伪装,可能是此类应用程序更容易融入 Google Play 商店。分析时,研究人员确定了通过 Google Play 进行传播的几个典型恶意软件家族,如:

  • Joker
  • Adware
  • Facestealer
  • Anatsa
  • Coper

各个家族具体的分布如下所示:

1717256692_665b41f44835576f106cb.png!small?1717256690551

家族分布

尽管 Antasa 和 Coper 所占份额很小,但其实二者都是极具影响力的银行木马。去年,研究人员在 Google Play 中也发现了多个 Coper 银行木马的变种。

结论

从 Google Play 商店下载应用程序也不是没有风险的,各类银行木马也在想方设法进行传播。移动安全威胁形式也在不断演变,应该采取主动措施来保护系统和敏感信息不外泄。

IOC

718659f464c3231dc0eeeacfdcbdfa74

36089c60ce1bfc975c3b561abb67f0de

https[:]//menusand.com/pdffile

https[:]//menusand.com/hanihani

https[:]//menusand.com/86.apk

http[:]//185.215.113.31:85/api

http[:]//91.215.85.55:85/api

https[:]//becorist.com/juranfile

https[:]//becorist.com/trani

参考来源

Zscaler

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1816113.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C语言调用so/dll动态库

文章目录 windowslinux C语言调用动态链接库 windows C语言调用windows下的动态库dll; 待实现 linux C语言调用linux下的动态库so; 准备C代码&#xff0c;并编译为so base.c #include <stdio.h>int funcBase(){printf("func base is running...");return …

每日5题Day23 - LeetCode 111 - 115

每一步向前都是向自己的梦想更近一步&#xff0c;坚持不懈&#xff0c;勇往直前&#xff01; 第一题&#xff1a;111. 二叉树的最小深度 - 力扣&#xff08;LeetCode&#xff09; /*** Definition for a binary tree node.* public class TreeNode {* int val;* TreeN…

小公司要求真高

大家好&#xff0c;我是白露啊。 最近看到一个爽文帖&#xff0c;标题就是——“小公司要求真高”。 事情是这样的&#xff0c;一家的小公司在拿到简历之后&#xff0c;HR直接对楼主说&#xff1a;“你不合适&#xff0c;简历不行。” 言外之意就是嫌弃简历单薄&#xff0c;看…

车载网络安全指南 网络安全框架(二)

返回总目录->返回总目录<- 目录 一、概述 二、网络安全组织管理 三、网络安全活动 四、支撑保障 一、概述 汽车电子系统网络安全活动框架包含汽车电子系统网络安全活动、组织管理以及支持保障。其中,网络安全管理活动是框架的核心,主要指汽车电子系统生命周期各阶段…

WebGL开发时尚设计系统

开发一个基于WebGL的时尚设计系统可以为用户提供一个互动、实时的3D体验&#xff0c;允许他们设计和试穿虚拟服装。这个系统可以广泛应用于时尚设计、电子商务、虚拟试衣间等领域。以下是开发此系统的主要步骤和关键技术。北京木奇移动技术有限公司&#xff0c;专业的软件外包开…

代码小浣熊 - 软件智能研发助手

介绍 代码小浣熊是一款基于商汤大语言模型的软件智能研发助手。它利用先进的自然语言处理和人工智能技术&#xff0c;为软件开发者提供从需求分析、架构设计到代码编写、软件测试等全流程的智能支持。无论是专业的软件工程师&#xff0c;还是编程初学者&#xff0c;代码小浣熊…

数据结构——02-算数表达式-栈-实验题目分享

一、实验题目 算数表达式计算&#xff1a; 设计算法根据用户输入的合法表达式计算结果并显示出来 表达式中的符号为、-、*、/、&#xff08;、&#xff09; 表达式中数字为整数 二、实验环境 Windows 11 Visual Studio Code &#xff08;总体代码在最后&#xff09; 三…

计算机视觉基础课程知识点总结

图像滤波 相关: 核与图像同向应用&#xff0c;不翻转。 卷积: 核在应用前翻转&#xff0c;广泛用于信号处理和深度学习&#xff08;现在常说的二维卷积就是相关&#xff09;。 内积: 向量化的点积操作&#xff0c;是相关和卷积的一部分。 模板匹配&#xff1a;通过在图像中…

python数据分析-笔记本内存和价格预测分析

一、背景和研究意义 计算机已成为现代社会不可或缺的工具&#xff0c;广泛应用于个人生活、学术研究和商业领域。随着科学技术的飞速发展&#xff0c;计算机不仅在性能上不断突破&#xff0c;在种类和品牌上也呈现出多样化和差异化。无论是办公、娱乐、学习还是创作&#xff0…

华为支持手指关节手势的原理

华为的指关节手势有指关节截屏、指关节录屏、指关节区域截屏、指关节分屏等。该技术的实现是靠触控结合了其他一些传感器实现的。 华为的专利&#xff1a; 一种手势控制方法、装置、终端设备和存储介质——华为技术有限公司 专利中提到以往终端设备对于手势的识别都是基于位置和…

【机器学习300问】114、什么是度量学习?三元组损失又是什么?

这些天都在加强自己的CV基本功&#xff0c;之前做过的人脸识别项目里有很多思考&#xff0c;在学习了这些基础知识后&#xff0c;我再次回顾了之前的人脸识别项目。我发现&#xff0c;很多之前困惑不解的问题现在都有了清晰的答案。 一、什么是度量学习&#xff1f; 度量学习也…

vue相关的2个综合案例,网页打字练习

for循环的应用 /* 1. 用for循环控制台打印0到100 */ for (var i 0; i < 100; i) {console.log(i) } /* 2. 用for循环控制台打印100到0 */ for (var i 100; i > 0; i--) {console.log(i) }网页打字练习案例练习 <template><div class"main"><…

安灯(andon)系统如何帮助工厂流水线实现精益生产

在当今竞争激烈的制造业领域&#xff0c;实现精益生产已成为众多工厂追求的目标。而安灯&#xff08;Andon&#xff09;系统在这一过程中发挥着至关重要的作用。 安灯&#xff08;Andon&#xff09;系统通过及时反馈和沟通机制&#xff0c;让生产过程中的问题能够迅速被察觉和解…

【面向就业的Linux基础】从入门到熟练,探索Linux的秘密(二)

主要内容介绍可tmux和vim的一些常用操作&#xff0c;可以当作笔记需要的时候进来查就行。 文章目录 前言 一、tmux和vim 二、Linux系统基本命令 1.tmux教程 2. vim教程 3.练习 总结 前言 主要内容介绍可tmux和vim的一些常用操作&#xff0c;可以当作笔记需要的时候进来查就行…

清远mes系统开发商 盈致科技

清远MES系统开发商盈致科技为企业提供专业的MES系统解决方案&#xff0c;帮助企业实现生产过程的数字化管理和优化。盈致科技的服务范围包括但不限于以下方面&#xff1a;MES系统定制开发&#xff1a;盈致科技可以根据清远企业的实际需求定制开发适合的MES系统&#xff0c;满足…

大神出新品,吴恩达开源机器翻译智能体项目

节前&#xff0c;我们星球组织了一场算法岗技术&面试讨论会&#xff0c;邀请了一些互联网大厂朋友、参加社招和校招面试的同学。 针对算法岗技术趋势、大模型落地项目经验分享、新手如何入门算法岗、该如何准备、面试常考点分享等热门话题进行了深入的讨论。 合集&#x…

2 程序的灵魂—算法-2.4 怎样表示一个算法-2.4.2 用流程图表示算法

流程图表示算法&#xff0c;直观形象&#xff0c;易于理解。 【例 2.6】将例 2.1 求 5!的算用流程图表示。 【例 2.7】将例 2.2 的算用流程图表示。 【例 2.8】将例 2.3 判定闰年的算用流程图表示。

双非本科一年20w,已是人中龙凤了

大家好&#xff0c;我是白露啊。 “双非本科一年20w已经是人中龙凤了”……吗&#xff1f; 牛客上刷到这条帖子&#xff0c;我一开始以为是一个钓鱼、引战贴。看完才觉得他说的很对&#xff0c;现在在求职选择工作的时候&#xff0c;网上都觉得得40万、50万&#xff0c;但当真…

SpringSecurity入门(一)

1、引入依赖 spring-boot版本2.7.3&#xff0c;如未特殊说明版本默认使用此版本 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><g…

新书速览|Autodesk Inventor 2024入门与案例实战:视频教学版

《Autodesk Inventor 2024入门与案例实战&#xff1a;视频教学版》 本书内容 《Autodesk Inventor 2024入门与案例实战&#xff1a;视频教学版》以Autodesk Inventor 2024为平台&#xff0c;重点介绍Autodesk Inventor 2024中文版的各种操作方法及其在工程设计领域的应用。《Au…