集銀行木馬 、 勒索病毒 、 鍵盤側錄器於一身的 Anubis 安卓手機病毒, 日前被發現偽裝成「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具應用程式,藉以散播 。
Anubis本身內建的鍵盤側錄功能,能記錄使用者輸入的按鍵,也可直接截取使用者的裝置畫面,以便獲得帳號登入憑證。
根據趨勢科技的資料顯示,最新版的 Anubis 已散布至全球 93 個國家,可竊取 377 種銀行應用程式使用者的帳戶資料。除此之外,Anubis 一旦成功執行,還有可能取得裝置上的通訊錄及定位資訊,也有能力錄音、發送簡訊、撥打電話並且寫入外接儲存。Anubis 可利用這些權限來發送垃圾訊息給通訊錄上的聯絡人 。
最近趨勢科技在 Google Play 商店上發現兩個會散布銀行惡意程式的應用程式,這兩個應用程式分別偽裝成名為「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具程式。
第一個電池節能工具已累積了 5,000 次以上的下載,並獲得 4.5 星的評價 (共 73 筆評論)。但若仔細觀察一下評論的內容就會發現這些評論有些可能是捏造的,因為其中參雜了一些匿名用戶的評論,並且有些評論邏輯不通且缺乏實質內容。
根據趨勢科技對這波攻擊的研究,這些應用程式會在系統上植入一個我們合理推論應該是「Anubis 銀行惡意程式」的檔案 (趨勢科技命名為
ANDROIDOS_ANUBISDROPPER )。該檔經過仔細分析之後,證明其程式碼與已知的 Anubis 樣本極為類似。此外,我們也發現它會連上位於「aserogeege.space」網域的幕後操縱
(C&C) 伺服器,該網域也與 Anubis 有所關聯。
這個「aserogeege.space」網域以及其他 18 個惡意網域皆對應至「47.254.26.2」這個 IP 位址,而我們也確認 Anubis 使用了這些網域底下的子網域。這些網域會經常變換其對應的 IP 位址,從 2018 年至今大約已更換過六次,顯示歹徒的攻擊行動相當活躍。
圖 1:Google Play 商店上的惡意應用程式。
表 1:BatterySaveMobi 所有樣本肆虐地區分布。
利用裝置的動作感應功能躲避偵測
上述不肖應用程式不僅使用了傳統的躲避技巧,還利用使用者裝置的動作感應功能來躲避偵測。
繼續閱讀