备注请放最后面 违者新闻文章删除
1.媒体来源:
iThome
2.记者署名:
文/陈晓莉 | 2021-11-30发表
3.完整新闻标题:
超过30万Android用户自Google Play下载了含有后门的行动程式
4.完整新闻内文:
荷兰资安业者ThreatFabric在本周警告，尽管Google Play的安全把关愈来愈严格，但骇
客依然能够成功进驻该行动程式市集，利用具备完善功能的行动程式夹带后门，再借由伪
造的更新来植入金融木马程式，在4个月内就有超过30万次的安装，让使用者成为潜在的
受害者。
骇客的手法与时俱进，特别是Google甫于本月变更了无障碍服务（Accessibility
Services）的使用条件，过去相关的API是这些恶意程式绕过Google审核的主要管道之一
，于是骇客只好尽量减少行动程式中恶意程式码的足迹，以期躲过侦测，再借由之后的更
新，选择性地植入金融木马，以窃取受害者的金融凭证。
ThreatFabric即发现，自今年8月以来，就有4款金融木马家族，利用此一手法进驻了
Google Play，它们分别是Anatsa、Alien、Hydra及Ermac，每款金融木马所借道的恶意程
式各自不同，由于这些恶意程式只嵌入了极少的恶意程式码，几乎都曾或迄今仍躲过防毒
软件的侦测，目前相关恶意程式的安装数量已超过30万次。
其中的Anatsa主要利用6款恶意程式散布，包括PDF Document Scanner Free、QR
Scanner 2021、QR Scanner、PDF Document Scanner - Scan to PDF、PDF Document
Scanner及CryptoTracker，它们都具备如程式说明所描述的完整功能，而且评价不错，加
总的下载量超过20万次。
图片来源_ThreatFabric
当使用者安装上述任一种程式之后，使用者将被迫进行更新以继续使用，这时骇客就可透
过C&C服务器于使用者装置上植入Anatsa。不过，骇客并不会在所有安装恶意程式的装置
植入金融木马，而是依照这些装置的位置而定，例如只在位于英国、荷兰或德国的
Android用户装置植入金融木马，骇客也能依照当时的策略，变更植入金融木马的区域。
图片来源_ThreatFabric
Anatsa是个拥有RAT能力的金融木马，不但可窃取凭证，储存纪录，也能侧录键盘。
至于Hydra与Ermac都是透过一款名称为QR CreatorScanner的Android程式来散布，该程式
的安装数量超过1.5万，所锁定的攻击区域还包含美国。
Alien所利用的程式包括Master Scanner Live、Gym and Fitness Trainer与PDF AI :
TEXT RECOGNIZER等，下载量超过9.5万次。
ThreatFabric指出，有些程式在使用者下载的当下完全没有任何恶意功能，以躲过Google
的侦测，也避免使用者起疑，甚至是在植入金融木马之后，程式仍一如往常地正常运作，
这些以合法掩护非法的手段愈来愈受到骇客青睐，也让侦测变得更困难，建议Android用
户在下载程式时应更加小心。
5.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/148094
6.备注:
呼~还好我用iPhone