2021年4个Android银行木马感染超30万台设备，大量窃取资金

2021 年 8 月至 11 月期间，四种不同的 Android 银行木马通过官方 Google Play 商店传播，导致超过 300,000 次通过各种套壳应用程序的下载安装感染，这些应用程序伪装成看似无害的实用程序，在安装后完全控制受感染的设备。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，这四种Android银行木马分别为Anatsa（又名 TeaBot）、Alien、ERMAC 和 Hydra。安装后，这些银行木马可以使用一种称为自动转账系统 ( ATS )的工具，在用户不知情的情况下，秘密窃取用户密码和基于 SMS 的双因素身份验证代码，将用户银行账号中的余额全部转走。

以下是部分伪装后的银行木马应用：

• 两因素身份验证器（com.flowdivison）
• 保护卫士 (com.protectionguard.app)
• QR CreatorScanner (com.ready.qrscanner.mix)
• Master Scanner Live (com.multifuction.combine.qr)
• 二维码扫描器 2021 (com.qr.code.generate)
• QR 扫描仪 (com.qr.barqr.scangen)
• PDF 文档扫描仪 – 扫描到 PDF (com.xaviermuches.docscannerpro2)
• PDF 文档扫描仪免费 (com.doscanner.mobile)
• CryptoTracker (cryptolistapp.app.com.cryptotracker)
• 健身房和健身教练 (com.gym.trainer.jeux)

这些恶意应用采用最主要的是一种称为版本控制的技术，其中首先上传应用程序的干净版本，然后以后续应用程序更新的形式逐步引入恶意功能。另一种策略涉及设计与套壳应用程序主题相匹配的外观相似的命令和控制 (C2) 网站，以绕过传统的检测方法。

一个安装量超过 10,000 次的健身训练套壳应用程序 GymDrop，被发现通过将其伪装成新的锻炼练习包来投放Alien银行木马有效载荷，为了让自己更难被发现，这些植入程序背后的黑客只会手动激活在受感染设备上安装银行木马，以防止在全球出现太多的受害者，增加其被检测分析和被分析的难度。