黑客会先在Google Play商店上传恶意软件下载器，待受害者安装了该下载器后，才将木马本体加载系统，并以键盘侧录的方式，在各应用程序中偷取被害者帐密，接着进行金融诈骗。

IBM资安团队X-Force从6月起，在Google Play商店接连发现了至少10款恶意应用程序，这些恶意软件都以阿奴比斯银行木马（BankBot Anubis）感染用户的装置，藉由偷取使用者的银行帐密，进行金融诈欺犯罪。研究团队提到，虽然10只恶意软件数量不多，但在每只恶意软件的C&C服务器（Command-and-Control）都可以采集到超过一千个样本，影响总范围并不小。

随着Google Play这类应用程序商店，开始采取了安全层级的机制，进一步阻碍了恶意软件的散布，不过，这些黑客也并非是省油的灯，研究团队提到，恶意行为趋向分工化与专业化，为规避不断发展的应用程序商店防御机制，黑客现在的策略倾向于不一开始就将恶意软件本体上传到商店中，以避免轻易的被侦测以及抽验发现。

取而代之，黑客们会先上传一个看似无害的软件，其中夹带下载器，下载器相对于恶意软件本身，更有机率闪过安全检查和递归扫描，而且一旦成功登陆被害者的装置，便可以大开后门，将恶意软件本体迎入系统内。这些在应用程序商店中的恶意下载器，以感染阿奴比斯银行木马为主要目的。

当受害者成功安装恶意下载器后，该应用程序便会从C&C服务器下载阿奴比斯银行木马本体，而该木马会以Google Protect为名（下图，来源：IBM X-Force），伪装成正常应用，并要求使用者授予访问权限。而要求访问权限的目的，是要侧录用户的键盘行为，这与大多数的银行木马不同，过去通常会在目标画面上，盖上一层假的画面，诱骗受害者信以为真，在上面输入账号密码。但阿奴比斯银行木马透过侧录键盘，就可以在任何的应用程序中窃取帐密。 这些含有恶意下载器的应用程序被设计来针对土耳其语言用户，但透过不同的殭尸网络以及设计，阿奴比斯银行木马也影响30多个国家包含台湾。研究团队透过下载次数以及找到的恶意软件，来估算Google Play商店中，这些恶意行为的活跃程度。在其中一个案例中，研究团队找到了一千多个阿奴比斯银行木马的样本，每个样本都有不同的MD5签章。

IBM X-Force研究团队提到，这类的网络犯罪服务在黑市很常见，在商店中散布这些下载器的人，向各方恶意组织提供着专业服务，以进一步使用行动木马进行金融诈骗。这些人有能力不停地更新恶意下载器，并维持C&C服务器的运作，以感染更多的受害者，这都一再证明了此为一个有组织、有技术且深思熟虑的犯罪集团。

另外，把恶意软件偷渡到官方商店中，对于黑客们来说效率很高，因为上面有最多的活跃使用者，而且使用者会倾向相信官方商店上的内容，因而降低了警觉性。X-Force研究团队也认为，这些有组织的散布恶意木马的行为已经商业化，并且存在专业的服务供货商，使用者应该意识到行动恶意软件所带来的风险。 文章出自：