4个安卓银行木马已感染超30万台设备

ThreatFabric 的研究人员发现了四种不同的安卓银行木马，它们在2021年8月至11月期间通过官方Google Play商店传播。据专家称，该恶意软件通过多个滴管应用程序感染了超过 300,000 台设备。

据防欺诈机构 ThreatFabric 的研究人员称，恶意软件植入程序伪装成 PDF 扫描仪、二维码扫描仪、加密货币应用程序、自我训练、身份验证器和安全应用程序，总共被下载超过 310,000 次。 

在这种情况下的一线希望是，并非所有下载它们的用户最终都背负着银行木马：恶意软件的交付仅保留给特定感兴趣区域的用户，并且是手动执行的。

威胁行为者正在改进他们的技术，以绕过Google为其Play商店中的应用程序实施的安全检查。绕过检查的一个技巧包括在 Google Play 中长时间引入精心策划的小型恶意代码更新。威胁参与者使用的另一种技术涉及设计与滴管应用程序主题相匹配的类似命令和控制 (C2) 网站，以绕过传统的检测方法。 

“为了让自己更难被发现，这些植入程序背后的参与者只会手动激活在受感染设备上安装银行木马，以防他们希望在世界特定地区有更多受害者。这使得自动检测成为任何组织都难以采用的策略。” 阅读专家发表的分析。“VirusTotal 没有展示防病毒产品检测随时间的演变，但几乎所有活动在某个时间点的 VirusTotal 上都有或有 0/62 的 FUD 分数，这证实了检测占用空间最小的 dropper 应用程序的难度。”

Dropper旨在分发 Android 银行木马Anatsa、Alien、ERMAC和Hydra。

以下是用于分发上述银行木马的 dropper 应用程序列表 ：

ThreatFabric 研究人员发现了由Brunhilda威胁演员投放的多个样本，该组织于 2021 年 7 月被发现分发 Vultur 木马。在一个案例中，研究人员观察到 Brunhilda 冒充二维码创建者应用程序，用于将Hydra和 Ermac恶意软件投放到用户的设备是以前未开发的国家/地区，例如美国。

“在短短4个月的时间里， 4个大型Android家族通过Google Play传播，通过多个滴管应用程序感染了300.000多个病毒。” 报告结束。“新的dropper活动的一个明显趋势是，攻击者专注于在 Google Play 中减少恶意足迹的加载程序，这大大增加了使用自动化和机器学习技术检测它们的难度。

小的恶意足迹是新的 Google Play 限制（当前和计划中的）的结果，该限制对有关应用程序权限的隐私的使用进行了限制。”