Anatsa Android木馬　從使用者中竊取銀行資訊

編譯／Cynthia

近期，一個名為「Anatsa」的Android銀行木馬在全球範圍內開展了一場嚴重的惡意軟體攻擊，這種惡意軟體自2023年3月以來一直在美國、英國、德國、奧地利和瑞士的線上銀行客戶中傳播。Anatsa木馬通過Play商店散播其惡意應用程式，該木馬透過此種管道已經在數月內被安裝了超過30,000次。

研究人員在追蹤這一惡意活動時發現，Anatsa木馬利用冒充PDF掃描器、QR碼掃描器、Adobe Illustrator等常見應用程式的方式進行安裝。這使得用戶難以察覺，並在背後竊取其銀行資訊。在惡意軟體傳播中斷六個月後，2023年3月駭客發其一場新的惡意廣告活動，導致潛在受害者從Google Play下載Anatsa dropper應用程序。在ThreatFabric資訊安全公司向Google報告該惡意應用程序並將其從商店中刪除時，駭客會上傳新的植入程序，從而迅速返回。

木馬以偽裝的文字識別器附加元件的形式，通過在用戶啟動合法銀行應用程式時在前景上覆蓋釣魚頁面或透過鍵盤記錄等方式，收集銀行帳戶認證、信用卡詳細資料、支付資訊等金融資訊。Anatsa木馬目前支援全球近600家銀行機構的金融應用程式，並利用被盜的資訊在受害者設備上進行詐騙操作，代表受害者啟動銀行應用程式並執行交易，將資金盜取自動化，使駭客受益。而由於這些交易是從受攻擊銀行的常用設備發起的，銀行反欺詐系統很難檢測到此木馬的存在。

隨著惡意軟體如Anatsa擴展其目標範圍至其他國家，用戶在安裝應用程式時必須謹慎。避免從可疑發行公司安裝應用程式，即使在Google Play等經過審查的商店中也要小心，應選擇有良好評價和常被引用的應用程式，而非安裝評價和安裝數量較少的應用程式。如已安裝Anatsa相關或其他惡意軟體之應用程式，應立即刪除。

對於Google如何處理惡意更新的問題，在6月27日報告提到「所有這些已識別的惡意應用程序均已從Google Play中刪除，並且開發人員已被禁止。Google Play Protect還通過Google Play服務自動刪除Android設備上已知包含此惡意軟體的應用程序，從而保護用戶。」由此可知，Google已經從Play商店中移除相關惡意應用程式，但仍然需要用戶保持警惕，以保護個人金融資訊的安全。

資料來源：BleepingComputer

瀏覽 611 次