安全企业Cofense本周披露新一代金融木马Anubis的能力,指出它同时具备信息窃取、键盘侧录与勒索软件等功能,还能关闭Google Play Protect,当它进驻到Android手机之后,即会锁定超过250款与金融或购物有关的程序展开攻击。
Cofense研究人员Marcel Feller说明,黑客通常借由电子邮件传播Anubis,在邮件中要求用户下载一个收据,但其实所下载的是一个没签名的Android程序安装档APK,当用户执行该APK时,程序会要求用户激活Google Play Protect,不过,用户按下同意之后,它并未激活Google Play Protect,反而是关闭了Google Play Protect,同时还赋给了该程序所需的所有权限。
成功进驻Android手机的Anubis即会开始搜集手机上所安装的程序,以与黑客所列出的超过250个攻击目标进行比对,这些目标大半是银行与金融程序,但eBay与Amazon等热门购物程序也在名单内。一旦用户打开了这些目标程序,Anubis就会展开行动,在程序上覆盖伪造的登录页面以窃取用户凭证。
Anubis的能力不仅于此,它还能捕捉手机画面、变更管理设置、打开任何的网页、记录语音、打电话、窃取通讯录、发送/接收/删除短信、锁住手机、取得手机的GPS位置、侧录键盘、搜索文件,还能加密手机或外置设备上的文件。
其中,它的键盘侧录功能适用于手机上的任何一款程序,而勒索软件模块则可加密所有的文件,并将它们发送到黑客所控制的服务器上。
该Anubis最近的活动影响Android 4.0.3及之后的版本,Cofense建议企业应该限制员工设备上所安装的程序,也应确保在办公环境中所使用的程序来自可靠的开发者,而所有的Android用户都应避免下载未签名的程序,以降低被恶意程序感染的风险。