Anatsa金融木馬再擴散，鎖定攻擊831款財務與加密貨幣App

資安公司Zscaler研究團隊指出，Android銀行木馬Anatsa（又稱TeaBot）持續活躍，並透過偽裝成文件閱讀器等工具型應用程式上架至Google Play，以規避檢測並吸引用戶下載。最新研究顯示，Anatsa目前針對的金融與加密貨幣應用已達831款，顯示其投遞手法與反分析技術再度升級。

Anatsa自2020年現身以來，一直以竊取金融帳號密碼、側錄鍵盤輸入和偽造交易為主要目的。本輪新活動的最大特徵，使用更新技術使其更難被偵測，攻擊者先在Google Play上架外觀正常的文件閱讀器或檔案管理器，吸引用戶安裝。 安裝後，這些誘餌應用會連線至其C2伺服器請求「更新」，並直接安裝Anatsa惡意載荷，而這與過去以遠端DEX動態載入的做法不同，藉此繞過Google Play檢測。

為避免被發現，Anatsa在啟動前會先檢查裝置是否為模擬器或測試環境，如果發現異常，就只顯示檔案管理介面，維持正常App的假象。一旦確認環境安全，便會釋出木馬惡意載荷並進一步展開行動。

核心攻擊手法在於竊取金融憑證，當Anatsa偵測到手機內安裝了特定銀行或交易App時，會從C2伺服器下載與該App介面相似的偽造登入頁面，誘騙使用者輸入帳號與密碼，再將這些資訊回傳給攻擊者。研究人員指出，目前Anatsa能對831款金融與加密服務進行此類攻擊，覆蓋歐洲與美國，且本輪新增納入德國與南韓，並擴及多個加密貨幣平臺。

此外，Anatsa會要求使用者開啟無障礙服務，一旦獲得授權，其就能自動啟用多項高風險權限，例如讀取與攔截簡訊，甚至覆蓋在其他App上顯示內容。這些能力讓攻擊者能攔截驗證碼，或直接進行未經授權的交易。

研究人員也指出，部分誘餌應用下載數已超過5萬次，顯示其滲透力道不容小覷。除了Anatsa之外，研究團隊並回報其他77款惡意應用，累計安裝數逾1,900萬次，反映出Google Play上惡意程式的持續活躍與變化。