据安全研究公司Threat Fabric的研究人员报告,一种名为Anatsa的银行木马再次通过一个伪装成PDF查看器的应用渗透进了Google Play,该应用已被超过五万次下载。
这种恶意软件在用户安装应用后立即激活,跟踪启动北美银行应用的用户,并通过显示叠加界面来访问账户、记录键盘输入或自动执行交易。
Anatsa还会在用户打开目标应用时显示虚假的系统维护通知,阻止用户联系银行或检查未授权交易。自2021年以来,Anatsa多次通过伪装工具和生产力应用渗透Google Play。
最新的Anatsa应用名为“Document Viewer – File Reader”,由“Hybrid Cars Simulator, Drift & Racing”发布。该应用在其获得大量用户后,通过更新引入恶意代码,并从远程服务器下载并安装Anatsa负载。
Google已将该恶意应用从商店移除。用户应立即卸载该应用,运行全面的系统扫描,并重设银行账户凭证。