定期监控Google Play恶意程序的安全企业Zscaler在本周披露，过去几个月发现了Google Play上的超过90款恶意程序，其总计安装数量超过500万次，其中有两款夹杂金融木马程序Anatsa。

其实在Zscaler所发现的恶意程序中，数量最多的是资讯窃取程序Joker，占了42.6%，居次的则是广告程序的41.5%，还有12.8%是专门用来窃取脸书凭证的Facestealer，属于金融木马程序的Anatsa与Coper分别只占2.1%与1.1%。

Anatsa最初瞄准美国与英国的金融程序，但Zscaler近来发现Anatsa的攻击目标已扩大到包括德国、西班牙、芬兰、韩国与新加坡的金融程序，锁定全球超过650个金融机构。

这两个Anatsa金融木马程序分别伪装成看起来无害的PDF阅读器及二维码阅读器，以成功上传到Google Play并闪避侦测，且用户的安装数量已超过7万次。

图片来源／Zscaler

分析显示，在用户安装了任一款阅读器之后，程序就会借由假借更新的名义，自黑客所控制的C&C服务器下载恶意程序代码或阶段性酬载，之后向用户请求各种许可，诸如短信或辅助（Accessibility）等与金融木马相关的功能，而为了自金融程序中窃取数据，Anatsa会下载一个金融程序目标清单，扫描受害设备是否含有清单上的程序，再与C&C交流，C&C即会根据设备上所找到的程序提供伪造的登录页面，以窃取用户的凭证。

Zscaler说，即使这次它们仅发现少数嵌入Anatsa与Coper的金融木马程序，但它们可能带来最严重的危害，建议各组织应该实施零信任架构，以确保修户在访问任何资源之前都必须经过身份验证与授权。