根据网络安全公司PhishLabs的说法，他们在本月5日发现了银行木马BankBot的一个新变种，正通过伪装成合法应用Adobe Flash Player、Avito和HD Video Player进行传播。

PhishLabs表示，被命名为“Anubis”的新变种将移动威胁提升到了一个新的层次。它将原本分属于众多不同类型恶意软件的功能集合在了一身，这包括勒索软件（Ransomware）功能、键盘记录（keylogger）功能、远程访问特木马（RAT）功能、短信拦截功能、呼叫转移和锁定屏幕功能。

在Anubis之前，LokiBot是第一个整合了勒索软件功能的Android银行木马。而现在，Anubis 的出现意味着BankBot背后的开发人员正在进一步提高其代码质量。

Anubis的配置存储在名为“set.xml”的文件中，有几个条目与新的勒索软件功能相关。比如'htmllocker'，它会在恶意应用安装成功后提供实现锁定屏幕功能的HTML代码。这种功能很容易让我们联想到其他锁定屏幕的勒索软件，CISP培训但它们只是简单地禁止受害者访问手机界面，而Anubis则是真正的实现了勒索软件功能。它的加密模块会使用256位对称密钥加密文件，并为被加密的文件附加扩展名. AnubisCrypt。

除了上述的勒索软件功能外，Anubis还实现了远程访问特木马（RAT）功能。通过RAT服务提供的命令包括开放目录、下载文件、删除文件和文件夹、启动和停止VNC以及停止和开始录音。该功能允许攻击者直接操纵文件系统并监控受害者的活动。CISP培训

另外，Anubis也实现了键盘记录功能，包括日志文件的名称。记录声音和记录击键的能力使得Anubis既强大又极具侵略性。尽管Anubis整合了众多新功能，但由于它是基于BankBot源代码开发的，因此它仍然是一个银行木马。如同大多数Android银行木马一样，Anubis会监视目标应用程序的启动，然后使用对应的钓鱼屏幕覆盖合法应用程序以窃取受害者的凭证。最后，它同样会使用其短信拦截功能来拦截银行发送的任何后续安全代码。CISP培训

PhishLabs表示，他们在全球范围内共发现了275个不同的应用携带有Anubis，其中包括了29个涉及与加密货币相关的应用。根据样本命令和控制（C&C）服务器的域名显示，它们大多数都是从日本、摩尔多瓦和法国注册的，基础设施则托管在位于乌克兰、德国和荷兰的服务器上。