據BleepingComputer網站報道，Anubis Android銀行惡意軟件近期活動頻繁，對近400家金融客戶構成了威脅。

來自 Lookout 的研究人員揭露道，攻擊者試圖冒充成Orange SA應用程序來竊取相關銀行賬號的登錄憑證。

Anubis于2016年首次出現在俄羅斯黑客論壇上，作為開源銀行木馬分享，并附有關于實現其客戶端和組件的說明。在接下來的幾年中，Anubis 獲得了進一步的開發工作，其更新的代碼繼續在參與者之間公開共享。2019 年，該惡意軟件添加了一個勒索軟件模塊， 并通過偽裝成正常應用程序進入了Google Play商店。

2020年，Anubis對超過250個購物和銀行應用程序發動了大規模網絡釣魚攻擊。當用戶試圖打開正常的應用時，Anubis會覆蓋顯示一個虛假登錄頁面，以竊取用戶輸入的賬號憑證。

Anubis 釣魚登錄表單覆蓋圖，來源：Lookout

在Lookout 發現的新版本中，Anubis具備了以下功能：

• 從麥克風錄制屏幕活動和聲音
• 實施 SOCKS5 代理以進行隱蔽通信和包裹遞送
• 截屏
• 從設備向指定收件人發送大量短信
• 檢索存儲在設備上的聯系人
• 發送、閱讀、刪除和阻止設備收到的 SMS 消息的通知
• 在設備上掃描特定文件以進行滲透
• 鎖定設備屏幕并顯示持久的贖金記錄
• 提交 USSD 代碼請求以查詢銀行余額
• 捕獲 GPS 數據和計步器統計數據
• 啟用鍵盤記錄器來竊取憑證
• 監控活動應用程序以模仿和執行覆蓋攻擊
• 停止惡意功能并從設備中刪除惡意軟件

與以前的版本一樣，新版Anubis 會檢測受感染設備是否啟用了Google Play Protected防護程序，若已經啟用，會推送虛假系統警報誘騙用關閉防護程序。這一操作使惡意軟件可以完全訪問設備，并可以在不受任何干擾的情況下自由地從 C2 發送和接收數據。

誘騙用戶禁用 Google Play Protect，來源：Lookout

目前，Anubis偽裝的Orange應用程序正通過惡意網站、社交媒體、網絡釣魚和論壇帖子進行傳播。建議用戶從官方渠道獲取應用程序。

參考來源：

https://www.bleepingcomputer.com/news/security/anubis-android-malware-returns-to-target-394-financial-apps/