威胁预警 | Anatsa 银行木马被下载超过数万次

最新推荐文章于 2024-07-19 11:20:49 发布
最新推荐文章于 2024-07-19 11:20:49 发布
阅读量1.1k 收藏 21
点赞数 38
文章标签: 网络 安全 web安全 网络安全 学习 网安入门 网络安全学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kailiaq_1/article/details/139790300
版权

最近,研究人员发现 Anatsa 银行木马的传播有所抬头。这种复杂的恶意软件欺骗受害者在不知不觉中安装后,通过全球的金融应用程序来窃取敏感凭据和财务信息。攻击者通过多种技术拦截和收集数据。

概述

Anatsa 是已知的安卓银行木马,针对全球超过 650 各金融机构的应用程序进行窃密,主要受害者都在欧洲。原来主要针对美国和英国的银行应用程序,后续进一步将攻击目标扩大到德国、西班牙、芬兰、韩国与新加坡的银行应用程序。

Anatsa 银行木马在安装时看起来人畜无害,但安装后应用程序会从 C&C 服务器下载恶意 Payload,以更新的名义进入受害者的手机。这种方式使得恶意软件可以绕过安全检测,堂而皇之地上传到 Google Play 供用户下载。

攻击过程

Anatsa 银行木马在攻击行动中的分发流程如下所示:

1717256386_665b40c26a09da7e881c7.png!small?1717256384063

攻击链

最近,研究人员发现了两个与 Anatsa 银行木马有关的恶意 Payload,通过 Google Play 进行分发。攻击者通常将恶意软件伪装成 PDF 阅读器和二维码扫描工具,吸引用户大量及逆行安装。下载量越高,用户越容易相信这些应用程序是真实且无害的。截至撰写本文时,两个应用程序已经累计超过 7 万次安装。

以下为两个应用程序的 Google Play 页面截图,看上去人畜无害但其实都是恶意软件。

1717256411_665b40db0a1374d590baa.png!small?1717256408889

应用程序下载页面

技术分析

如前所述,Anatsa 银行木马利用从 C&C 服务器下载的 Payload 进行下一步的恶意活动。除了下一阶段的 Payload,还会从 C&C 服务器下载配置文件来执行 Payload。

1717256439_665b40f763a03159b06b1.png!small?1717256437509

Payload 与配置下载

下载的 DEX 文件,由虚假的应用程序加载:

1717256464_665b4110db2d5b486ec42.png!small?1717256463330

请求下载 DEX 文件

应用程序利用反射从加载的 DEX 文件中调用代码,再下载所需要的配置文件:

1717256484_665b4124aaf17c44bea68.png!small?1717256482478

下载配置文件

成功下载下一阶段 Payload 后,Anatsa 银行木马会对设备环境和设备类型进行一系列检查,判断是否处于分析环境。验证通过后,再从 C&C 服务器下载后续阶段的 Payload,如下所示:

1717256517_665b4145abcadfa7d4c3c.png!small?1717256515858

下载 Payload

Anatsa 银行木马将未压缩的原始数据注入 APK,还故意破坏压缩参数以阻碍分析。破损的 ZIP 文件头如下所示:

1717256540_665b415c05d545842e5ea.png!small?1717256537871

反分析技术

加载 APK 后,恶意软件会向受害者请求各种权限,包括短信读取与各种辅助功能。该恶意软件将最终的 DEX Payload 隐藏在文件中。运行时通过内嵌的静态密钥,解密释放 DEX 文件。

1717256553_665b4169f169432314b4f.png!small?1717256551900

银行木马

执行后,Anatsa 银行木马会解码所有编码的字符串。再与 C&C 服务器建立连接,执行后续各种恶意攻击,如检索应用程序列表进行代码注入。为了盗窃金融应用程序的数据,Anatsa 银行木马下载了目标列表如下所示:

1717256570_665b417a203512db4d379.png!small?1717256568078

请求配置

可以使用密钥解密异或加密的请求响应数据:

1717256582_665b41860aa67c2a6fb8a.png!small?1717256579909

解密数据

获取应用程序列表后,恶意软件会检查失陷设备上是否存在对应的应用程序。如果存在,C&C 服务器会返回对应应用程序虚假的登录页面,如下所示:

1717257064_665b43686f6a424c3acde.png!small?1717257065545

特定应用程序

虚假登录页面加载在启用了 JavaScript 接口(JSI)的 WebView 中,诱使受害者提供登录凭据。一旦受害者输入了相关凭据信息,数据就会立刻回传给攻击者。

Google Play 趋势

攻击者最常伪装的应用程序类型就是工具类,占比近 40%。个性化应用程序和摄影类应用程序分别占到 20% 与 13%。具体应用程序分类如下所示:

1717256675_665b41e3bdb0cc447778f.png!small?1717256673401

应用程序类别

选择工具类应用程序作为伪装,可能是此类应用程序更容易融入 Google Play 商店。分析时,研究人员确定了通过 Google Play 进行传播的几个典型恶意软件家族,如:

  • Joker
  • Adware
  • Facestealer
  • Anatsa
  • Coper

各个家族具体的分布如下所示:

1717256692_665b41f44835576f106cb.png!small?1717256690551

家族分布

尽管 Antasa 和 Coper 所占份额很小,但其实二者都是极具影响力的银行木马。去年,研究人员在 Google Play 中也发现了多个 Coper 银行木马的变种。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 

 (都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

白帽子凯哥
关注
  • 38
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java的银行风险预警系统的研究与实现
肥晨开发的学习之路
09-28 4786
本文基于Java开发了一款银行风险预警系统,旨在帮助银行有效管理风险并提前预警潜在风险。本文首先介绍了课题的背景和国内外的研究现状与趋势,然后详细描述了系统的课题内容。接着,本文介绍了相关的技术与方法,包括系统分析、系统设计和系统实现。在系统实现部分,本文详细介绍了使用Java语言开发系统的过程。最后,本文对系统进行了测试,并对整个研究工作进行了总结,并展望了后续的工作。随着金融行业的发展和创新,银行面临着越来越复杂和多样化的风险。为了确保银行的稳定和可持续发展,风险管理变得至关重要。
银行业客户流失预警模型(一)| 业务介绍
better_zhao的博客
07-26 6045
银行业客户群体 1.银行的个人客户 银行对个人客户的主要业务是:为个人客户合理安排个人财务,具体有 (1)存款,取款 (2)小额贷款 (3)代理投资理财 (4)信息咨询 (5)其他各类中介服务 目的:为客户取得收益,并帮助其防范风险,同时提高银行自身效益 客户分类分类: 一般客户:主要以存折,存单,账户,借记卡业务为主 消费信贷客户:以资产业务为主,主要指房贷,车贷,耐用品消费品贷款 信用卡客户:一般是面向社会各阶层人士提供的小额短期信贷款,支付,转账业务等 贵宾理财客户:指收入高,财富多的
案例解读|江苏银行—智多星大数据分析云平台实践
Leo的博客
06-16 6144
2014年10月,江苏银行夏平董事长确立了利用大数据实现弯道超车的发展战略,将大数据应用提升到全行发展的战略层面。2015年上半年,江苏银行完成了大数据平台选型和建设,选择发布版hadoop进行底层数据存储加工。接着,进行内外部数据整合。三个阶段的完成,意味着大数据基础设施建设工作已完成,如果把大数据建设工作看做一颗大树,前两个阶段完成意味着树干和树枝已长成,接下来的大数据应用像树枝上的树叶一样,
架构之争:数用一体VS数用分离,谁才是永远滴神
热门推荐
独木不成林,单弦不成音。
07-03 1万+
数据资产也好、报表也好,可以直接导入去支撑业务。这么双向来回,数据与应用就是一体的。
一份典型的商业银行风险预警体系规划咨询报告
04-03
本报告是笔者作为国际咨询公司为某全国性商业银行制定的风险预警体系建设规划咨询报告,本报告内容包括了报告工作方法、目标蓝图绘制、三阶段建设总体规划、风险预警理念设计、组织架构设计、管理制度及流程设计、...
人工智能-项目实践-预警-银行客户流失预警模型.zip
12-23
在这个名为“人工智能-项目实践-预警-银行客户流失预警模型.zip”的压缩包中,我们可以预见到一个关于利用人工智能技术来预测银行客户流失的项目实践。这个项目的核心目标是建立一个有效的预警模型,以便银行能够在...
基于定性微分博弈的网络安全威胁预警方法
01-14
目前,基于博弈理论的网络安全研究大多采用静态博弈或多阶段动态博弈模型,不符合实际网络攻防连续对抗、实时变化的特点,为了更加贴近攻防实际进行安全威胁预警,借鉴传染病动力学模型分析安全威胁传播过程,基于...
人工智能-项目实践-数据预处理-基于真实业务上手数据挖掘(银行流失预警):数据的处理、LightGBM、skLearning包
03-02
流失预警模型(二分类),代码原型为本人在某银行做的流失模型,AUC:83%、召回率(覆盖率):19.4%,精确率:85%(数据是外部数据/代码已脱敏) 基于真实业务上手数据挖掘(银行流失预警):数据的处理、LightGBM...
基于模糊一致偏好关系的商业银行操作风险预警研究
06-11
本文以商业银行操作风险防控为研究基础,深入探讨了如何通过科学的方法来识别和预警这些风险。 首先,文章从四个方面分析了商业银行的操作风险:营运人员、内部制度、过程和操作系统、外部环境。这四个维度是构成...
SpringBoot整合SSE,实现后端主动推送DEMO
zjy660358的专栏
07-17 348
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 814
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 981
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 887
计算机网络技术期末复习
CWPIN21的博客
07-17 1094
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
使用tcpdump 和 Wireshark进行简单TCP抓包分析【图文教程】
最新发布
qq_42037383的博客
07-19 819
和都是网络分析工具,用于捕获和分析网络数据包,但它们在功能和使用上有所不同。所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到 Windows 电脑后,用 Wireshark 可视化分析。如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以。
网络抓包工具tcpdump的使用
fengzhan12138的博客
07-17 925
tcpdump命令是基于unix系统的命令行的数据报嗅探工具,可以抓取流动在网卡上的数据包,熟悉 tcpdump 的使用能够帮助你分析调试网络数据。
UDP协议
bushibrnxiaohaij的博客
07-17 1075
所以UDP在发送报文前只需要把把头的结构化字段填好,然后防止报文的前面就可以像服务器进行请求了,但是不管是服务器还是客服端,都一定存在大量的UDP报文,所以OS也一定要对这么多的报文进行管理,所以OS也会存在对报文描述的结构体,报文本质就是数据,所以就是一段缓冲区,所以描述报文的结构体里面一定会存在指针。UDP的报头非常简单,存在16位源端口和16为目的端口,16位UDP长度, 表示整个数据报(UDP首部+UDP数据)的最大长度,如果校验和出错, 就会直接丢弃。UDP协议是传输层的协议,是在应用层之下的。
深入理解Linux网络(一):内核如何接收网络
又见南风的博客
07-18 813
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值