定期监控Google Play恶意程式的资安业者Zscaler在本周揭露,过去几个月发现了Google Play上的逾90款恶意程式,其总计安装数量超过500万次,当中有两款夹杂金融木马程式Anatsa。
其实在Zscaler所发现的恶意程式中,数量最多的是资讯窃取程式Joker,占了42.6%,居次的则是广告程式的41.5%,还有12.8%是专门用来窃取脸书凭证的Facestealer,属于金融木马程式的Anatsa与Coper分别只占2.1%与1.1%。
Anatsa最初瞄准美国与英国的金融程式,但Zscaler近来发现Anatsa的攻击目标已扩大到包括德国、西班牙、芬兰、韩国与新加坡的金融程式,锁定全球超过650个金融机构。
这两个Anatsa金融木马程式分别伪装成看起来无害的PDF阅读器及二维码阅读器,以成功上传到Google Play并闪避侦测,且使用者的安装数量已超过7万次。
分析显示,在使用者安装了任一款阅读器之后,程式就会借由假借更新的名义,自骇客所控制的C&C伺服器下载恶意程式码或阶段性酬载,继之向使用者请求各种许可,诸如简讯或辅助(Accessibility)等与金融木马相关的功能,而为了自金融程式中窃取资料,Anatsa会下载一个金融程式目标清单,扫描受害装置是否含有清单上的程式,再与C&C交流,C&C即会根据装置上所找到的程式提供伪造的登入页面,以窃取使用者的凭证。
Zscaler说,即使这次它们仅发现少数嵌入Anatsa与Coper的金融木马程式,但它们可能带来最严重的危害,建议各组织应该实施零信任架构,以确保使用者在造访任何资源之前都必须经过身分验证与授权。