新型銀行木馬Anubis來襲

宋明成

根據網絡安全公司PhishLabs的說法，他們在近日發現了銀行木馬BankBot的一個新變種，正通過偽裝成合法應用Adobe Flash Player、Avito和HD Video Player進行傳播。

PhishLabs表示，被命名為“Anubis”的新變種將移動威脅提升到了一個新的層次。它將原本分屬于眾多不同類型惡意軟件的功能集合在了一身，這包括勒索軟件（Ransomware）功能、鍵盤記錄（keylogger）功能、遠程訪問特木馬（RAT）功能、短信攔截功能、呼叫轉移和鎖定屏幕功能。

在Anubis之前，LokiBot是第一個整合了勒索軟件功能的Android銀行木馬。而現在，Anubis的出現意味著BankBot背后的開發人員正在進一步提高其代碼質量。

Anubis的配置存儲在名為“set.xml”的文件中，有幾個條目與新的勒索軟件功能相關。比如“htmllocker”，它會在惡意應用安裝成功后提供實現鎖定屏幕功能的HTML代碼。這種功能很容易讓我們聯想到其他鎖定屏幕的勒索軟件，但它們只是簡單地禁止受害者訪問手機界面，而Anubis則是真正的實現了勒索軟件功能。它的加密模塊會使用256位對稱密鑰加密文件，并為被加密的文件附加擴展名. AnubisCrypt。

除了上述的勒索軟件功能外，Anubis還實現了遠程訪問特木馬功能。通過RAT服務提供的命令包括開放目錄、下載文件、刪除文件和文件夾、啟動和停止VNC以及停止和開始錄音。該功能允許攻擊者直接操縱文件系統并監控受害者的活動。另外，Anubis也實現了鍵盤記錄功能，包括日志文件的名稱。記錄聲音和記錄擊鍵的能力使得Anubis既強大又極具侵略性。

盡管Anubis整合了眾多新功能，但由于它是基于BankBot源代碼開發的，因此它仍然是一個銀行木馬。如同大多數Android銀行木馬一樣，Anubis會監視目標應用程序的啟動，然后使用對應的釣魚屏幕覆蓋合法應用程序以竊取受害者的憑證。最后，它同樣會使用其短信攔截功能來攔截銀行發送的任何后續安全代碼。

PhishLabs表示，他們在全球范圍內共發現了275個不同的應用攜帶有Anubis，其中包括了29個涉及與加密貨幣相關的應用。根據樣本命令和控制（C&C）服務器的域名顯示，它們大多數都是從日本、摩爾多瓦和法國注冊的，基礎設施則托管在位于烏克蘭、德國和荷蘭的服務器上。