疫情重灾偏逢Anubis银行木马突袭，360安全大脑揭破木马制作“黑窝点”

能直接从账户盗走钱财的银行木马，一直被称为是恶意软件中最邪恶的一种。近日，360安全大脑独家发布《深度揭露Anubis移动银行木马》报告，全面披露了近期瞄准全球300多国家银行机构，且来势汹汹的Anubis银行木马，以及其背后隐藏的高危木马制作网站。

报告显示，2020年1月至今，360安全大脑共捕获6000多个Anubis家族相关样本，伪装成全球300多家金融机构在线钓鱼。同时，Anubis银行木马背后隐藏的恶意软件制作网站，极大地降低了该木马的准入门槛，威胁十分严峻。



Anubis银行木马竟然支持DIY？

360安全大脑揭破“制作黑窝点”



不同以往病毒木马的单纯泛滥，此次Anubis银行木马危机再临，还带来了更危险的无门槛式Anubis木马制作网站。



从360安全大脑监测数据来看，1月起既已开始活跃的Anubis银行木马背后，涉及2个公开木马制作打包网站。网站展示界面虽不同，但域名均为同一IP，且使用方法也基本一致。



即使是技术小白，也可根据提示填写相关配置，制作自己的Anubis银行木马，甚至可以直接根据网上泄露的后端代码，成为Anubis银行木马运营者。

接下来，360安全大脑进一步对网站进行分析，发现该网站可提供大量图标用以伪装木马。制作者不仅可以根据网站现有素材，将银行木马伪装成Flash播放器应用程序、系统工具应用、加密货币应用、图像处理应用和游戏等相关应用，还可以根据自己的需求，通过网站的自定义图标功能，上传任意伪装图标，提高木马伪装的多样性。

而在分析两个网站制作木马的流程时，360安全大脑发现两网站分别使用了不同的制作方法。其中一个网站使用Anubis反编译后的smali代码，另一个网站则直接使用Anubis的源代码。在此必须一提的是，第二种制作方法的出现，说明Anubis应用程序源码不仅早已泄露，且已被不法黑客利用。

26项高危代码“无所不能”
甚至暗藏免杀代码

紧接着，在分析网站Anubis应用源码后，360安全大脑发现其代码结构清晰且注释完整。在受控端源码部分，下图显示的Anubis配置相关代码，就使用了尖括号包含的字符串，并与网站提供的选项一致。

值得注意的是，在Anubis 银行木马恶意代码的具体功能上，竟高达26个项目。360安全大脑验证后，确定涉及启动指定应用程序、获取所有申请的权限、获取键盘记录、显示指定内容对话框、推送指定内容的通知、获取所有联系人号码、向所有联系人发送短信、请求访问数据的权限、请求权限以确定设备的位置等高危行为，可谓破坏力十足。

除了上述恶意功能外，360安全大脑还在该网站上还发现了一份加固代码，该代码起到保护Anubis银行木马的作用，使其拥有免杀能力，避开杀毒软件的拦截查杀。

最后，在Anubis银行木马的控制端源码上，还拥有控制面板和钓鱼功能。鉴于其代码在2019年既已泄露，且配有详细的使用教程，也就意味着任何人都可以利用该源码创建Anubis银行木马的后台系统，并基于该代码添加其他钓鱼页面。

瞄准金融机构在线钓鱼

疫情地区或成木马“高热目标”

除了极为繁复的恶意功能外，360安全大脑还在Anubis银行木马控制端源码中，发现了大量的金融应用图标以及对应钓鱼网站源码，具体涉及全球各地300多家金融机构。

部分金融机构应用图标：

经360安全大脑分析指出，Anubis银行木马控制端源码中涉及的金融机构，主要分布在欧洲、亚洲和北美的20多个国家/地区，其中涉及欧洲国家数量较多。

报告中，360安全大脑还披露了Anubis控制端代码钓鱼网站数量最多的前10个国家/地区，其中波兰涉及钓鱼网站数量最多，土耳其、德国紧随其后，具体数据如下图所示：

在Anubis银行木马总量上，2020年1月至今，360安全大脑共捕获6000多个Anubis家族相关样本，且在涉及的大量伪装对象来上看，FlashPlayer出现频率最高，是Anubis银行木马伪装最多的对象。

值得强调的是，在利用金融机构钓鱼伪装FlashPlayer等工具传播外，360安全大脑还发现了多起利用代码托管服务平台Bitbucket，传播伪装成新冠肺炎相关应用的Anubis银行木马。总体来看，伪装新冠肺炎相关应用的木马虽仍处于测试阶段，但不排除未来瞄准新冠肺炎爆发严重地区的可能。

门槛走低恐殃及全球金融业

360安全大脑持续护航移动安全

作为一款始于2016风靡2017，几经迭代并在2019年泄露后端代码的银行木马家族，Anubis同时兼具了功能强大、使用门槛低等多重特质，而在此次制作网站出现后，无疑将进一步大幅度降低该银行木马的使用门槛，危及国内外金融行业。而360安全大脑作为网络空间雷达防御系统，将继续关注Anubis银行木马相关动态，持续为全面守护移动互联网安全贡献力量。

同时，针对日渐增长的Anubis银行木马攻击态势，360安全大脑建议各位用户：
1、注意避免浏览未知来源的网页，不要随意点击广告、短信、电子邮件内的下载链接；
2、切勿轻易下载未知来源的应用软件，并谨慎授权；
3、下载金融、疫情相关软件时，请认准政府或权威机构来源；
4、前往正规手机应用市场下载安装应用，有效规避中招风险。

360烽火实验室简介

作为全球顶级移动安全生态实验室，致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究，已全球首发多篇具备国际影响力的Android木马分析报和Android木马黑色产业链研究报告。

实验室在为360手机卫士、360手机急救箱、360手机助手等产品提供核心安全数据和顽固木马清除解决方案的同时，也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务，全方位守护移动安全。

来源   360安全卫士