超過90款惡意程序潛入Google Play，藏有金融木馬

定期監(jiān)控Google Play惡意程序的安全企業(yè)Zscaler在本周披露，過去幾個月發(fā)現(xiàn)了Google Play上的超過90款惡意程序，其總計安裝數(shù)量超過500萬次，其中有兩款夾雜金融木馬程序Anatsa。

其實在Zscaler所發(fā)現(xiàn)的惡意程序中，數(shù)量最多的是資訊竊取程序Joker，占了42.6%，居次的則是廣告程序的41.5%，還有12.8%是專門用來竊取臉書憑證的Facestealer，屬于金融木馬程序的Anatsa與Coper分別只占2.1%與1.1%。

Anatsa最初瞄準(zhǔn)美國與英國的金融程序，但Zscaler近來發(fā)現(xiàn)Anatsa的攻擊目標(biāo)已擴(kuò)大到包括德國、西班牙、芬蘭、韓國與新加坡的金融程序，鎖定全球超過650個金融機(jī)構(gòu)。

這兩個Anatsa金融木馬程序分別偽裝成看起來無害的PDF閱讀器及二維碼閱讀器，以成功上傳到Google Play并閃避偵測，且用戶的安裝數(shù)量已超過7萬次。

圖片來源／Zscaler

分析顯示，在用戶安裝了任一款閱讀器之后，程序就會借由假借更新的名義，自黑客所控制的C&C服務(wù)器下載惡意程序代碼或階段性酬載，之后向用戶請求各種許可，諸如短信或輔助（Accessibility）等與金融木馬相關(guān)的功能，而為了自金融程序中竊取數(shù)據(jù)，Anatsa會下載一個金融程序目標(biāo)清單，掃描受害設(shè)備是否含有清單上的程序，再與C&C交流，C&C即會根據(jù)設(shè)備上所找到的程序提供偽造的登錄頁面，以竊取用戶的憑證。

Zscaler說，即使這次它們僅發(fā)現(xiàn)少數(shù)嵌入Anatsa與Coper的金融木馬程序，但它們可能帶來最嚴(yán)重的危害，建議各組織應(yīng)該實施零信任架構(gòu)，以確保修戶在訪問任何資源之前都必須經(jīng)過身份驗證與授權(quán)。