據(jù)BleepingComputer網(wǎng)站報(bào)道，Anubis Android銀行惡意軟件近期活動(dòng)頻繁，對近400家金融客戶構(gòu)成了威脅。

來自 Lookout 的研究人員揭露道，攻擊者試圖冒充成Orange SA應(yīng)用程序來竊取相關(guān)銀行賬號的登錄憑證。

Anubis于2016年首次出現(xiàn)在俄羅斯黑客論壇上，作為開源銀行木馬分享，并附有關(guān)于實(shí)現(xiàn)其客戶端和組件的說明。在接下來的幾年中，Anubis 獲得了進(jìn)一步的開發(fā)工作，其更新的代碼繼續(xù)在參與者之間公開共享。2019 年，該惡意軟件添加了一個(gè)勒索軟件模塊， 并通過偽裝成正常應(yīng)用程序進(jìn)入了Google Play商店。

2020年，Anubis對超過250個(gè)購物和銀行應(yīng)用程序發(fā)動(dòng)了大規(guī)模網(wǎng)絡(luò)釣魚攻擊。當(dāng)用戶試圖打開正常的應(yīng)用時(shí)，Anubis會(huì)覆蓋顯示一個(gè)虛假登錄頁面，以竊取用戶輸入的賬號憑證。

Anubis 釣魚登錄表單覆蓋圖，來源：Lookout

在Lookout 發(fā)現(xiàn)的新版本中，Anubis具備了以下功能：

• 從麥克風(fēng)錄制屏幕活動(dòng)和聲音
• 實(shí)施 SOCKS5 代理以進(jìn)行隱蔽通信和包裹遞送
• 截屏
• 從設(shè)備向指定收件人發(fā)送大量短信
• 檢索存儲在設(shè)備上的聯(lián)系人
• 發(fā)送、閱讀、刪除和阻止設(shè)備收到的 SMS 消息的通知
• 在設(shè)備上掃描特定文件以進(jìn)行滲透
• 鎖定設(shè)備屏幕并顯示持久的贖金記錄
• 提交 USSD 代碼請求以查詢銀行余額
• 捕獲 GPS 數(shù)據(jù)和計(jì)步器統(tǒng)計(jì)數(shù)據(jù)
• 啟用鍵盤記錄器來竊取憑證
• 監(jiān)控活動(dòng)應(yīng)用程序以模仿和執(zhí)行覆蓋攻擊
• 停止惡意功能并從設(shè)備中刪除惡意軟件

與以前的版本一樣，新版Anubis 會(huì)檢測受感染設(shè)備是否啟用了Google Play Protected防護(hù)程序，若已經(jīng)啟用，會(huì)推送虛假系統(tǒng)警報(bào)誘騙用關(guān)閉防護(hù)程序。這一操作使惡意軟件可以完全訪問設(shè)備，并可以在不受任何干擾的情況下自由地從 C2 發(fā)送和接收數(shù)據(jù)。

誘騙用戶禁用 Google Play Protect，來源：Lookout

目前，Anubis偽裝的Orange應(yīng)用程序正通過惡意網(wǎng)站、社交媒體、網(wǎng)絡(luò)釣魚和論壇帖子進(jìn)行傳播。建議用戶從官方渠道獲取應(yīng)用程序。

參考來源：

https://www.bleepingcomputer.com/news/security/anubis-android-malware-returns-to-target-394-financial-apps/