2023年11月，ThreatFabric的研究人员发现Anatsa银行木马复苏，该木马也被称为TeaBot或Toddler。在11月到2月之间，该银行木马共发起五波不同的攻击浪潮，每一波都针对不同区域。

在这之前，Anatsa主要针对英国、德国和西班牙，但最新的活动目标是斯洛伐克、斯洛文尼亚和捷克等国家，这表明其运营策略发生了变化。

研究人员认为，Anatsa的行为是“有针对性的”，且最近的攻击主要集中3到5个区域。

据ThreatFabric所述，这些携带恶意软件的应用被上传到目标地区的Google Play商店，且在“最新免费应用”分类中跻身前三名，容易让用户误以为这是一款合法且被众多用户下载的应用。

在这场攻击活动中，Anatsa的作案手法已经演变，采取了更高级的策略，包括滥用Android辅助功能服务、实施多阶段感染，并成功绕过Android 13版本中的安全限制。

一些携带恶意软件的应用能够有效利用辅助功能服务，绕过Google Play商店的强化检测与防护措施。为了避免被检测到，这些应用分步骤实施策略，从其C2（指挥与控制）服务器获取配置和恶意文件。

报告进一步指出，这场攻击行动中所有携带恶意软件的应用都已具备绕开Android 13对辅助服务限制设置的能力。

Anatsa支持Android银行木马的常见功能，像其他类似的恶意软件家族一样，滥用辅助功能服务。以下是该恶意软件实施的功能列表：

• 能够对多个银行应用发起覆盖攻击（Overlay Attacks），窃取登录凭证和信用卡信息
• 能够发送/截取/隐藏短信
• 启用键盘记录功能
• 能够窃取谷歌验证器的验证码
• 能够通过辅助服务和实时屏幕共享功能，获得对安卓设备的完全远程控制权

需要注意的是，Anatsa银行木马允许操作者接管被感染的设备，并代表受害者执行操作。因此，有效检测和监控恶意应用，并观察客户账户的异常行为，对于识别和调查与Anatsa这类接管型移动恶意软件相关的潜在欺诈案件至关重要。

参考来源：Anatsa Android banking Trojan expands to new countries (securityaffairs.com)