400家金融机构成为Anubis木马攻击目标

近日，根据Lookout研究人员的安全报告，包括大通银行、富国银行、美国银行和第一资本的客户以及近400家其他金融机构正成为伪装法国电信公司Orange SA官方账户管理平台的恶意应用程序的目标。

研究人员表示，这仅仅是个开始。

报告警告说，一旦下载，恶意软件（银行木马Anubis的一个变种）就会窃取用户的个人数据。研究人员补充说，不仅仅是大银行的客户面临风险：虚拟支付平台和加密钱包也成为攻击目标。

Lookout报告称：“作为一种银行木马恶意软件，Anubis的目标是从受害者的移动设备上收集有关受害者的重要数据以获取经济利益。”“这是通过拦截短信、键盘记录、文件泄露、屏幕监控、GPS数据收集和滥用设备的无障碍服务来实现的。”

Orange Telecom帐户管理应用程序的恶意版本于2021年7月提交给Google Play商店，后来被删除，但研究人员警告说，他们认为该活动只是对Google防病毒保护的测试，很可能很快就会重新出现。

报告补充说：“我们发现混淆工作仅在应用程序中部分实施，并且其命令和控制(C2)服务器仍在进行其他开发。”“我们预计将来会提交更多混淆严重的分发。”

一旦下载到设备上，银行木马就会与命令和控制(C2)服务器建立连接并下载另一个应用程序以启动SOCKS5代理。

“该代理允许攻击者对与其服务器通信的客户端进行身份验证，并屏蔽客户端与C2之间的通信。检索和解密后，APK将在'/data/data/fr.orange.serviceapp/app_apk'中保存为'FR.apk'，”研究人员写道。

报告称，恶意软件随后会弹出一条诈骗消息，要求用户禁用Google Play Protect，让攻击者完全控制。

分析师发现了fr.orange.serviceapp所针对的超过394个应用程序，包括银行、可充值卡公司和加密货币钱包。Lookout团队通过Anubis客户端追踪到了一个半成品的加密交易平台。

报告解释说，Anubis于2016年首次被发现，作为开源代码以及针对银行木马网络犯罪分子的说明在地下论坛上广泛可用。目前看到的是Anubis代码最新的迭代，在基本的银行木马上又增加了一个证书窃取功能，这意味着像微软365基于云的平台登录也存在被攻击风险。

Lookout表示目前还未看到任何与Orange SA活动相关的成功攻击。

“虽然我们无法确定该应用程序是否已被用于成功攻击，但我们确实知道它们的目标包括美国银行、第一资本、大通、SunTrust和富国银行等金融机构”Lookout表示。

报告链接：

https://lookout.com/blog/anubis-targets-hundreds-of-financial-apps

（来源：@GoUpSec）