摘要：Zscaler 的 ThreatLabz 团队的一项调查显示，77 个恶意应用程序通过官方Google Play商店传播不同的恶意软件家族，攻击了 831 家银行，安装量超过 1900 万次，使用户面临欺诈和盗窃风险。

Zscaler 的 ThreatLabz 团队的一项调查显示，77 个恶意应用程序通过官方Google Play商店传播不同的恶意软件家族，攻击了 831 家银行，安装量超过 1900 万次，使用户面临欺诈和盗窃风险。

这项研究的重点是 Anatsa（又名TeaBot）银行木马的新一波感染，这是一种有害程序，于 2020 年首次发现，现已演变为更危险、更复杂的威胁。

最新的 Anatsa 变种大大扩展了其攻击范围，受其影响的全球金融机构从之前的 650 家增至 831 家。除了流行的加密货币平台外，该恶意软件的运营商还将德国和韩国等新地区纳入其中。

许多诱饵应用程序被设计成看起来像无害的文档阅读器，单独下载量已超过 50,000 次，这表明该活动的影响范围很广。

据报道，恶意软件运营商使用名为“文档阅读器 - 文件管理器”的应用程序作为诱饵，该应用程序仅在安装后下载恶意的 Anatsa 负载，以逃避谷歌代码审查。

进一步的研究表明，从官方商店下载的应用程序最初是干净的，并且功能与承诺的一致。然而，一旦安装，该应用程序就会悄悄地下载伪装成必要更新的Anatsa恶意软件。通过诱骗用户启用Android的辅助功能服务，该恶意软件可以自动执行其恶意操作。

一旦控制了设备，恶意软件就会窃取财务信息、监控键盘输入，并通过在用户设备上显示模仿银行或金融应用程序的虚假登录页面来促成欺诈交易。当用户尝试登录时，这些信息会被直接发送给攻击者。

该恶意软件还可以通过使其代码难以读取以及检查其是否在测试环境中运行来逃避安全分析。这包括使用数据加密标准(DES) 运行时解密和执行模拟检查来绕过安全工具。它使用损坏的 ZIP 压缩包来隐藏关键的恶意文件，使标准分析工具难以检测到。

研究人员总结道：“Android 用户应该始终验证应用程序请求的权限，并确保它们与应用程序的预期功能相符。”

详细报告全文：

来源：会杀毒的单反狗