Google Play 上的假文档阅读器传播了 Anatsa Android 银行恶意软件

Google Play 商店中的一个虚假文档阅读器应用程序被用来传播 Anatsa Android 银行木马,使超过 100,000 名 Android 用户面临可能的凭证盗窃和财务欺诈。

Zscaler ThreatLabz 在一篇文章中说新的阿纳萨警告该恶意应用程序使用包名称 com.westhorizo​​nt.appsforge.filehorizo​​n_explorereaddocuments 并充当银行恶意软件的植入程序。

Anatsa,也称为 TeaBot,并不新鲜。 Zscaler 的他开始研究表示该恶意软件首次出现于 2020 年,可以窃取凭据、监控击键并帮助攻击者执行欺诈交易。

假文档阅读器攻击是如何运作的

该应用程序本身是一个文件管理器和文档阅读器。这使得它对于需要打开 PDF、文档或本地文件的日常 Android 用户来说足够有用。

安装后,该应用程序的行为就像一个滴管。当设备通过检查时,它会联系攻击者控制的基础设施并下载完整的 Anatsa 有效负载。

这种分阶段的方法帮助该应用程序在早期审查期间显得无害。最初的应用程序看起来像一个基本实用程序,而真正的银行木马后来作为单独的有效负载到达。

攻击阶段发生了什么为什么这很重要
Play 商店列表该应用程序充当文档阅读器和文件管理器用户更有可能信任简单的实用程序应用程序
初始安装滴管起初看起来是良性的这有助于应用程序避免立即受到怀疑
有效负载交付该应用程序从远程服务器下载了 Anatsa银行木马安装后到达
权限滥用Anatsa 请求辅助功能和短信相关的访问权限该恶意软件获得了窃取凭证所需的工具
银行覆盖真实的金融应用程序上出现了虚假的登录屏幕受害者可以直接在恶意软件中输入凭据

最新的 Anatsa 变种扩大了其影响范围。 Zscaler 表示,最新版本针对全球超过 831 家金融机构,包括银行、投资和加密货币服务。

该恶意软件会检查受感染设备是否安装了金融应用程序。当它找到目标应用程序时,它可以从其命令和控制服务器请求匹配的虚假登录页面。

然后,该假页面就会出现在合法应用程序上。受害者认为他们正在登录自己的银行,但凭据却传给了攻击者。

为什么文档阅读器应用程序是有用的诱惑

文档阅读器、二维码扫描仪、文件管理器和类似的实用应用程序仍然是常见的 Android 恶意软件伪装。它们看起来很普通,但服务于广泛的用户需求,而且不会立即感到有风险。

Zscaler 的更广泛的分析分析表示,在早期活动中,诱饵 Anatsa 应用程序的下载量已超过 50,000 次,而该公司报告的相关恶意应用程序的总安装量达到数百万次。

最新的假文档阅读器显示出相同的模式仍在继续。攻击者不需要说服用户安装明显的银行工具,只需安装看似无害的有用应用程序即可。

  • 包名称:com.westhorizo​​nt.appsforge.filehorizo​​n_explorereaddocuments
  • 恶意软件家族:Anatsa,也称为 TeaBot
  • 应用程序伪装:文档阅读器和文件管理器
  • 报告的安装次数:超过 100,000 次下载
  • 主要风险:银行凭证盗窃和欺诈交易

分析失败时恶意软件会隐藏

该滴管包含使分析变得更加困难的检查。如果它检测到沙箱、模拟器或无法访问的命令和控制服务器,它可以简单地显示工作文件管理器界面。

这种行为有助于应用程序保持其封面。研究人员、自动扫描器或谨慎的用户可能只会看到基本的文件管理功能,而不是隐藏的恶意软件链。

Zscaler 的ThreatLabz 更新还列出了与有效负载传送和命令和控制服务器相关的指标,包括 66.206.6[.]6、162.252.173[.]37、185.215.113[.]108 和 193.24.123[.]18。

Anatsa 滥用辅助功能和短信权限

安装后,Anatsa 会尝试说服用户授予辅助功能权限。这是感染链中最危险的步骤之一。

谷歌在一份声明中警告称安卓安全帖子不良行为者可以利用可访问性 API 直接从屏幕读取敏感信息,包括密码和财务详细信息,并通过注入触摸来操纵设备。

谷歌的Play 保护帮助页面还表示,阅读短信、阅读通知和通过可访问性控制设备等权限通常是不良行为者进行身份盗窃和财务欺诈的目标。

许可或行为Anatsa 如何滥用它
无障碍通道监控屏幕、自动点击并协助覆盖攻击
读取短信捕获一次性密码和银行警报
接收短信拦截传入的验证消息
显示在其他应用之上在真实应用程序上方显示虚假银行登录页面
全屏模式对受害者隐藏明显的警告标志
键盘记录记录输入的用户名、密码和其他敏感数据

覆盖攻击使银行盗窃行为更难被发现

Anatsa 的叠加技术简单但有效。该恶意软件会等到用户打开目标金融应用程序,然后在真实的登录屏幕上放置一个虚假的登录屏幕。

MITRE描述GUI输入捕获作为一种移动攻击技术,对手会模仿操作系统或应用程序提示来收集用户的敏感信息。

实际上,受害者可能会看到看起来正常的登录页面。输入用户名、密码或其他银行详细信息后,信息就可以发送到攻击者的服务器。

Google Play Protect 有帮助,但用户仍需谨慎

Google Play Protect 检查应用和设备是否存在有害行为。谷歌说播放保护自动扫描 Android 手机上的应用程序并防止有害应用程序安装。

谷歌还表示,该服务每天扫描 2000 亿个 Android 应用程序。然而,滴管式恶意软件仍然很困难,因为第一个应用程序可能看起来很干净,而恶意负载随后才到达。

Google Play 保护指南建议保持 Play Protect 开启,并指出它可以警告用户、禁用应用程序、删除有害应用程序、重置权限以及阻止来自高风险来源的高风险安装。

Android 用户现在应该做什么

安装假冒文档阅读器的用户应立即将其删除。他们还应该运行 Play Protect 扫描,重新启动设备,并检查所有应用程序的辅助功能、短信、通知和覆盖权限。

任何在受影响的设备上使用银行、投资或加密应用程序的人都应联系其金融机构,从干净的设备更改密码,并查看最近的交易。

用户还应避免向文档阅读器、文件管理器、QR 扫描仪、手电筒应用程序、壁纸应用程序或其他显然不需要该控制级别的工具授予辅助功能权限。

  1. 卸载可疑的文档阅读器或文件管理器应用程序。
  2. 打开 Google Play,转到 Play Protect,然后运行扫描。
  3. 检查辅助功能权限并删除未知应用程序的访问权限。
  4. 检查短信、通知和在其他应用上显示的权限。
  5. 从受信任的设备更改银行和加密密码。
  6. 启用交易警报并快速报告可疑转账。

已知的妥协指标

类型指标描述
套餐名称com.westhorizo​​nt.appsforge.filehorizo​​n_explorereaddocuments恶意滴管应用程序包
MD5f72b1a333fa28b133df6476561142d6aAnatsa 安装程序哈希
负载网址hxxp://66.206.6[.]6:8080/disclaimer.txt负载传送端点
MD561d25684e6f42e386f40ee60f5c54dca他打开了有效负载哈希
C2网址hxxp://162.252.173[.]37:85/apiAnatsa 命令和控制服务器
C2网址hxxp://185.215.113[.]108:85/api/Anatsa 命令和控制服务器
C2网址hxxp://193.24.123[.]18:85/api/Anatsa 命令和控制服务器
MD55f85261cf55ed10e73c9b68128092e70相关滴管样本
MD59b6e5703bb0dc0ce8aa98281d0821642相关滴管样本
MD5a4973b21e77726a88aca1b57af70cc0a相关滴管样本
MD5ed8ea4dc43da437f81bef8d5dc688bdb相关滴管样本

开发商和银行可以从这次活动中学到什么

金融应用程序开发人员应该假设恶意软件可能会尝试读取屏幕、覆盖虚假登录提示或通过滥用的可访问路径自动输入。

Android 可访问性数据敏感指南为开发人员提供了一种更新的方法来保护敏感视图免受受支持的 Android 版本上不必要的基于辅助功能的窥探。

安全团队还可以将此行为映射到MITRE 的 GUI 输入捕获技术在构建移动威胁检测、欺诈规则和客户警告时。

主要教训很简单。看起来干净的应用程序列表并不能保证应用程序的安全,尤其是当应用程序后来要求与其声明的目的无关的强大权限时。

用户应保留Google Play 保护启用,仅安装必要的应用程序,仔细查看最近的评论,并将意外的辅助功能请求视为主要警告信号。

FAQ

Google Play 上的假文档阅读器是什么?

这是一个恶意的 Android 应用程序,伪装成文档阅读器和文件管理器。 Zscaler ThreatLabz 表示,它使用了软件包名称 com.westhorizo​​nt.appsforge.filehorizo​​n_explorereaddocuments 并传播了 Anatsa 银行木马。

假冒 Android 文档阅读器的下载量有多少?

Zscaler ThreatLabz 表示,该假文档阅读器在被识别为 Anatsa 植入程序之前,在 Google Play 上的下载量已超过 10 万次。

什么是 Anatsa 恶意软件?

Anatsa 也称为 TeaBot,是一种 Android 银行木马,可以窃取银行凭证、记录击键、显示虚假登录界面并帮助攻击者执行欺诈交易。

为什么 Anatsa 要求辅助功能权限?

Anatsa 滥用辅助权限来监控活动、自动点击、读取敏感屏幕内容以及支持虚假银行覆盖攻击。文档阅读器或文件管理器通常不需要此级别的访问权限。

如果用户安装了假文档阅读器该怎么办?

用户应卸载该应用程序,运行 Google Play Protect 扫描,检查辅助功能和短信权限,从干净的设备更改银行密码,监控帐户是否存在可疑交易,并在发现欺诈行为时联系银行。