Anatsa 移动恶意软件攻击活动

网络安全研究人员发现了新一波由Anatsa木马病毒策划的安卓银行恶意软件攻击。这种名为TeaBot或Toddler的复杂威胁再次出现，并针对美国和加拿大用户发起攻击，利用Google Play商店中发布的看似合法的应用程序实施欺骗性攻击。

伪装成文档工具的恶意软件

此次攻击活动的核心是一款伪装成实用程序的植入程序应用，名为“文档查看器 - 文件阅读器”（APK 包：“com.stellarastra.maintainer.astracontrol_managerreadercleaner”）。该应用伪装成一款无害的 PDF 工具，由名为“混合动力汽车模拟器、漂移与赛车”的开发者发布，这个名字本身就令人怀疑。在下载量达到一定水平后，该应用的更新会嵌入恶意代码，在受害者设备上下载并安装 Anatsa。

这款应用于 2025 年 5 月 7 日上线，并于 2025 年 6 月 29 日在热门免费工具类别中排名第四。截至当时，该应用已累计下载量约 9 万次，之后被下架。谷歌已确认已从 Play 商店移除该应用及其关联的开发者账户。

隐秘的策略和熟悉的剧本

Anatsa 活动遵循一个经过实践检验的周期：

合法应用程序部署：将干净、功能齐全的应用程序上传到 Play 商店。

延迟感染：在建立相当大的用户群后，推送包含恶意代码的更新。

静默安装：恶意软件作为单独的应用程序安装，在原始包中不可见。

目标分配：它接收从外部服务器动态获取的要攻击的金融机构列表。

此次多阶段攻击是Anatsa持久成功策略的一部分。通过在早期阶段潜伏，仅在获得信任和关注后才激活，该活动避免了早期发现，并在短暂但有效的传播窗口（在本例中为2025年6月24日至6月30日）内最大化其影响力。

高级金融欺诈防范能力

一旦安装，Anatsa 就会启用一系列旨在进行财务剥削的恶意活动：

• 通过覆盖攻击和键盘记录窃取凭证。

这些覆盖层会欺骗用户，让他们以为银行的应用程序暂时停机维护，而实际上，凭证正在被窃取，并可能用于未经授权的交易。

阿纳萨威胁的全球演变

Anatsa 于 2020 年首次被发现，之后经历了显著的演变。早在 2024 年，它就曾以类似的策略针对斯洛伐克、斯洛文尼亚和捷克共和国的用户，这些良性应用程序在首次发布数周后就变成了恶意程序。该恶意软件的适应能力和扩展地域范围的能力，凸显了其对全球移动银行客户的持续威胁。

最新的北美活动反映了 Anatsa 对美国和加拿大金融机构日益增长的兴趣，以及其快速转变和重新使用成功攻击方法的能力，只需稍加调整即可。

保护措施和行业响应

敦促金融服务行业的组织：

• 监控来自移动设备的可疑活动。
• 向客户宣传虚假应用程序覆盖和未经授权的更新的危险。
• 加强身份验证机制，即使凭证被泄露也能检测欺诈行为。

用户需要注意的关键危险信号：

• 更新后请求不寻常权限的应用程序。
• 银行应用程序上突然出现“维护”覆盖。
• 应用程序开发者的名称或应用程序类别不一致。

谷歌表示，参与此次活动的恶意应用已从 Google Play 商店中下架。

最后的想法

Anatsa 活动清楚地表明，在数字生态系统中，信任可以被多么迅速地利用。通过融入 Google Play 商店的可信环境，该恶意软件成功渗透到数千台设备。持续的教育、主动的安全监控以及适度的怀疑态度，仍然是抵御此类不断演变的威胁的最佳防御措施。