Anatsa 行動惡意軟體攻擊活動

網路安全研究人員發現了新一波由Anatsa木馬病毒策劃的安卓銀行惡意軟體攻擊。這種名為TeaBot或Toddler的複雜威脅再次出現，並針對美國和加拿大用戶發動攻擊，利用Google Play商店中發布的看似合法的應用程式實施欺騙性攻擊。

偽裝成文檔工具的惡意軟體

這次攻擊活動的核心是一款偽裝成實用程式的植入程式應用，名為「文件檢視器 - 文件閱讀器」（APK 套件：「com.stellarastra.maintainer.astracontrol_managerreadercleaner」）。該應用程式偽裝成一款無害的 PDF 工具，由名為「混合動力汽車模擬器、漂移與賽車」的開發者發布，這個名字本身就令人懷疑。在下載量達到一定水準後，應用程式的更新會嵌入惡意程式碼，在受害者裝置上下載並安裝 Anatsa。

這款應用於 2025 年 5 月 7 日上線，並於 2025 年 6 月 29 日在熱門免費工具類別中排名第四。截至當時，該應用程式已累積下載量約 9 萬次，之後被下架。谷歌已確認已從 Play 商店移除該應用程式及其關聯的開發者帳戶。

隱密的策略和熟悉的劇本

Anatsa 活動遵循一個經過實踐檢驗的周期：

合法應用程式部署：將乾淨、功能齊全的應用程式上傳到 Play 商店。

延遲感染：在建立相當大的用戶群後，推送包含惡意程式碼的更新。

靜默安裝：惡意軟體作為單獨的應用程式安裝，在原始套件中不可見。

目標分配：它接收從外部伺服器動態取得的要攻擊的金融機構清單。

這次多階段攻擊是Anatsa持久成功策略的一部分。透過在早期階段潛伏，僅在獲得信任和關注後才激活，該活動避免了早期發現，並在短暫但有效的傳播窗口（在本例中為2025年6月24日至6月30日）內最大化其影響力。

高級金融詐欺防範能力

一旦安裝，Anatsa 就會啟用一系列旨在進行財務剝削的惡意活動：

• 透過覆蓋攻擊和鍵盤記錄竊取憑證。

這些覆蓋層會欺騙用戶，讓他們以為銀行的應用程式暫時停機維護，而實際上，憑證正在被竊取，並可能用於未經授權的交易。

阿納薩威脅的全球演變

Anatsa 於 2020 年首次被發現，之後經歷了顯著的演變。早在 2024 年，它就曾以類似的策略針對斯洛伐克、斯洛維尼亞和捷克共和國的用戶，這些良性應用程式在首次發布數週後就變成了惡意程式。該惡意軟體的適應能力和擴展地理範圍的能力，凸顯了其對全球行動銀行客戶的持續威脅。

最新的北美活動反映了 Anatsa 對美國和加拿大金融機構日益增長的興趣，以及其快速轉變和重新使用成功攻擊方法的能力，只需稍加調整即可。

保護措施和行業響應

敦促金融服務業的組織：

• 監控來自行動裝置的可疑活動。
• 向客戶宣傳虛假應用程式覆蓋和未經授權的更新的危險。
• 加強身分驗證機制，即使憑證外洩也能偵測詐欺行為。

使用者需要注意的關鍵危險訊號：

• 更新後請求不尋常權限的應用程式。
• 銀行應用程式上突然出現「維護」覆蓋。
• 應用程式開發者的名稱或應用程式類別不一致。

谷歌表示，參與活動的惡意應用程式已從 Google Play 商店下架。

最後的想法

Anatsa 活動清楚地表明，在數位生態系統中，信任可以被多麼迅速地利用。透過融入 Google Play 商店的可信任環境，該惡意軟體成功滲透到數千台裝置。持續的教育、主動的安全監控以及適度的懷疑態度，仍然是抵禦此類不斷演變的威脅的最佳防禦措施。