定期監控Google Play惡意程式的安全企業Zscaler在本週披露，過去幾個月發現了Google Play上的超過90款惡意程式，其總計安裝數量超過500萬次，其中有兩款夾雜金融木馬程式Anatsa。

其實在Zscaler所發現的惡意程式中，數量最多的是資訊竊取程式Joker，佔了42.6%，居次的則是廣告程式的41.5%，還有12.8%是專門用來竊取臉書憑證的Facestealer，屬於金融木馬程式的Anatsa與Coper分別只佔2.1%與1.1%。

Anatsa最初瞄準美國與英國的金融程式，但Zscaler近來發現Anatsa的攻擊目標已擴大到包括德國、西班牙、芬蘭、韓國與新加坡的金融程式，鎖定全球超過650個金融機構。

這兩個Anatsa金融木馬程式分別偽裝成看起來無害的PDF閱讀器及二維碼閱讀器，以成功上傳到Google Play並閃避偵測，且使用者的安裝數量已超過7萬次。

圖片來源／Zscaler

分析顯示，在使用者安裝了任一款閱讀器之後，程式就會藉由假借更新的名義，自駭客所控制的C&C伺服器下載惡意程式程式碼或階段性酬載，之後向用戶請求各種許可，諸如簡訊或輔助（Accessibility）等與金融木馬相關的功能，而爲了自金融程式中竊取資料，Anatsa會下載一個金融程式目標清單，掃描受害裝置是否含有清單上的程式，再與C&C交流，C&C即會根據裝置上所找到的程式提供偽造的登入頁面，以竊取使用者的憑證。

Zscaler說，即使這次它們僅發現少數嵌入Anatsa與Coper的金融木馬程式，但它們可能帶來最嚴重的危害，建議各組織應該實施零信任架構，以確保修戶在訪問任何資源之前都必須經過身份驗證與授權。