Android银行木马活动针对2021个超过300000个设备

8月至2021年11月间，四种不同的Android银行特洛伊木马通过官方谷歌游戏商店被传播，导致了超过300000种感染，通过各种滴管应用程序构成了看似无害的实用程序，以完全控制受感染的设备。

网络安全公司ThreatFabric旨在交付Anatsa（又名TeaBot）、Alien、ERMAC和Hydra，该公司表示，这些恶意软件活动不仅更加精致，而且经过精心设计，具有较小的恶意足迹，有效地确保有效载荷仅安装在特定地区的智能手机设备上，并防止在发布过程中下载恶意软件。

一旦安装，这些银行特洛伊木马可以秘密窃取用户密码和基于短信的双因素身份验证码、击键、屏幕截图，甚至在用户不知情的情况下使用名为自动转账系统（ATSs）的工具耗尽用户的银行账户。这些应用已经从Play Store中删除。

恶意dropper应用的列表如下-

• 双因素验证器（com.flowDivision）
• Protection Guard（com.protectionguard.app）
• QR CreatorScanner（com.ready.qrscanner.mix）
• 主扫描仪Live（com.multifiction.combine.qr）
• QR Scanner 2021 (com.qr.code.generate)
• QR扫描仪（com.QR.barqr.scan）
• PDF文档扫描仪pScan至PDF（com.xaviermuches.docscannerpro2）
• PDF文档扫描仪免费（com.doscanner.mobile）
• CryptoTracker（cryptolistapp.app.com.CryptoTracker）
• 健身房和健身教练（com.Gym.Trainer.jeux）

本月早些时候，谷歌对可访问性权限的使用进行了限制，允许恶意应用从Android设备捕获敏感信息，这类应用的运营商正越来越多地通过其他方式改进他们的策略，即使他们被迫选择更传统的通过应用市场安装应用的方式。

这些技术中最主要的是一种称为版本控制的技术，在这种技术中，首先上传应用程序的干净版本，然后以后续应用程序更新的形式逐步引入恶意功能。另一个策略是设计与dropper应用程序主题相匹配的类似指挥与控制（C2）网站，以便绕过传统的检测方法。

TraveBuffy自2021年6月起在Actudio商店发现了六台AnATSA滴管，这些应用程序被编程为下载“更新”，随后提示用户授予其无障碍服务特权和权限，以从未知的第三方源安装应用程序。

布隆希尔达，一个威胁演员，被发现在2021年7月发布了一个名为PultUR的远程访问木马，利用伪装成QR代码创建者应用程序的木马程序来删除针对美国用户的Hyra和ErMAC恶意软件，这一市场以前没有被两个恶意软件家族所攻击。

最后，一款健身训练滴管应用程序，安装量超过10000台—；被称为GymDrop—；被发现通过将其伪装为“新的锻炼计划”来交付Alien banking特洛伊木马有效载荷，尽管其据称合法的开发者网站同时兼作C2服务器，以获取下载恶意软件所需的配置。

研究人员说：“为了让自己更难被发现，这些dropper应用背后的参与者只需手动激活受感染设备上的银行特洛伊木马安装，以防他们希望在世界特定地区有更多受害者。”。“这使得自动检测成为任何组织都难以采用的策略。”