Threat Fabric 安全研究人员刚刚发布了一批 Android 网银木马，并且在被 Google Play 整理之前，其下载量就现已超过了 30 万次。在二维码扫描仪、PDF 扫描仪、加密钱银钱包等表象的粉饰下，这些歹意运用会在私自盗取用户登录凭据、双要素身份验证码、记载按键、以及屏幕截图。

（来自：Threat Fabric）

经过持续四个月的追寻，Threat Fabric 发现了四个独立的 Android 歹意软件系列。可知其使用了多种技巧，来逃避 Google Play 运用商铺的检测机制

安全研究人员指出，之所以从 Google Play 的主动化（安全沙箱）和机器学习审阅流程中逃逸，正是该渠道试试权限约束的直接结果。

通常情况下，这些歹意软件会先以一款良性 App 的面貌示人。所以在前期的 VirusTotal 歹意软件检测进程中，它们并不会在第一时间被揪出。

但在用户装置后，它们就会开端拐骗用户下载并装置带有“附加功用”的更新包。此刻这些歹意运用会经过第三方来历来获取，但此刻它们现已骗取了用户的遍及信赖。

为了逃避雷达追寻，这些歹意程序还使用了其它手法。在许多情况下，暗地操纵者只要在查看受感染的设备的地理位置、或经过增量更新后，才会手动布置歹意内容。

这种致力于躲过不必要重视的手法，真实让人难以置信。但是实际标明，根据主动化流程的传统歹意软件检测计划，正在变得不那么牢靠。

在近来宣布的一篇博客文章中，Threat Fabric 具体论述了被查询的 9 款 dropper 歹意软件。其间形成最多感染的，被称作 Anatsa 宗族。

这款“适当先进”的 Android 网银木马内置了许多功用，包含长途拜访和主动转账体系。受害者将被无情地清空账户，将资金转移到暗地黑手操控的账户中。

感染 Anatsa 歹意软件的进程，是从 Google Play 下载看似人畜无害的初始装置包后开端的。之后相关 App 会强制用户更新，以持续运用该运用程序。

但实际是，暗地黑手在长途更新服务器上托管了夹藏私货的歹意内容，并经过骗取信赖的方法，将之装置在了毫无警戒的受害者设备上。

为了装得更像一些，暗地团伙甚至会雇人在 Google Play 运用商铺刷好评，以诱惑更多无辜者上当受骗。

最终，研究人员还发现了别的三大歹意软件宗族（别离称之为 Alien、Hydra 和 Ermac）。

其特点是植入了 Gymdrop 歹意负载，并使用根据受感染设备模型的过滤规矩，来躲过安全研究人员的搜捕。