据The Hacker News网站报道，2021年8月至10月间，4种不同的Android系统银行恶意程序以通过官方Google Pllay商店传播的方式，感染了超过30万台设备，这些应用伪装成各类正常APP，一旦中招，就能悄然控制受感染的设备。

网络安全公司 ThreatFabric表示，这4种恶意软件被称为Anatsa(又名 TeaBot)、Alien、ERMAC 和 Hydra，目前它们的活动显得十分精细化，能够仅针对特定地区的设备部署有效载荷，并防止恶意软件在发布过程中被其它地区下载。

4种恶意程序通过伪装成其它应用活动的时间线

虽然在月初，谷歌制定了限制使用可访问性权限，旨在遏制恶意应用程序从 Android 设备捕获敏感信息，但此类应用程序越来越多地通过其他方式改进他们的策略，其中最主要的一种方式为版本控制技术，即首先在应用商店中上传一个正常版本，然后通过后续更新的方式逐步加入恶意功能。自今年 6 月以来，ThreatFabric在Google Play 商店中发现了六个植入有Anatsa银行木马的恶意程序，这些应用程序通过“更新”的方式，提示用户授予其安装应用程序的权限和辅助功能服务权限。

另一种策略是设计一种与命令和控制(C2)网站相匹配的外观，以避开传统的检测方法。安全人员在今年7月发现名为Vultur的远程访问木马，巧妙地伪装成一个可以创建二维码的应用程序，以此来向美国用户投放Hydra和ERMAC恶意软件，而这两个恶意软件以前并未针对美国市场。

此外，一款下载次数超过1万次的健身软件——GymDrop，被发现通过引导下载新的健身运动包来植入Alien银行木马的有效载荷，甚至合法的开发者网站还充当了C2服务器来获取下载恶意软件所需的配置。

参考来源：https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html