来自Cleafy的研究人员发现,TeaBot银行木马,也称为“Anatsa”,现已在GooglePlay商店中被发现。该恶意软件的主要攻击方法是拦截毫无戒心的用户的短信和登录凭据。其报告称,它已经影响了400多个银行和金融应用程序的用户,包括来自俄罗斯、中国和美国的银行应用程序。这不是TeaBot第一次攻击安卓用户。TeaBot还没有死TeaBot是去年首次被发现的。这是一种相对简单的恶意软件,旨在从受感染的设备中窃取银行、联系人、短信和其他类型的私人数据。它的独特之处在于其传播手段非常巧妙,具有非常持久的攻击能力。TeaBot不需要使用恶意电子邮件或短信,使用欺诈网站或第三方服务。相反,它通常打包在下载器中。下载器从外部看起来是合法的,但实际上是一种用于传递第二阶段恶意负载的工具。TeaBot的下载器将自己伪装成普通的二维码或PDF阅读器。Lookout的安全研究人员通过电子邮件解释说,攻击者经常将程序伪装成二维码扫描仪、手电筒、照片过滤器或PDF扫描仪等实用程序,因为这些程序通常被有紧急需求的人使用。对于下载,他们不会花太多时间看那些用户的用户评论。这个策略似乎非常有效。一月份,一款名为“QRCodeReader-Scanner”的应用程序在一个月内分发了17种不同的Teabot变体。在被发现时,它已成功获得超过100,000次下载。荷兰安全公司ThreatFabric去年11月发现的其他TeaBot植入程序伪装成许多名称,例如QRScanner2021、PDFDocumentScanner和CryptoTracker。根据安全公司Cleafy的说法,最新的是QRCode&Barcode-Scanner。为什么TeaBot不能停止?应用程序商店一直都有打击恶意软件的政策和保护措施。例如,GooglePlayProtect政策有助于清除恶意应用程序并每天扫描应用程序是否存在危险行为。然而,TeaBotdropper很难被视为恶意的。他们看起来很无聊。一旦用户打开这些未知应用程序之一,系统就会提示他们下载软件更新程序。事实上,该软件是第二个包含恶意负载的应用程序。如果用户允许他们的应用程序安装来自未知来源的软件,此感染过程就会开始。与其他Android恶意软件一样,TeaBot恶意软件试图利用可访问的服务。此类攻击使用高级远程访问功能,滥用名为TeamViewer的远程访问和桌面共享工具,该工具允许使用恶意软件的犯罪分子远程控制受害者的设备。报告称,这些攻击的最终目标是检索敏感信息,例如设备屏幕上的登录凭据、短信和2FA代码,以及在设备上执行的恶意操作。如何防范TeaBotTeaBot的攻击频率正在快速增加。正如Cleafy指出的那样,TeaBot所针对的应用程序数量在不到一年的时间里增长了500%以上,从60个目标增加到400多个。可以采取什么措施来阻止它们?nVisium的安全研究人员通过电子邮件告诉CNBC,实时扫描应用下载,即使该应用不是来自GooglePlay,也有助于缓解这个问题。将组件添加到您的应用程序时,一些额外的警告消息也可能有用。谷歌目前可能正在对正在运行的应用程序进行权限检查,然后获取特定的公共IP和域的硬编码列表。同时,谷歌可以通过各种方式调查它们,看看它们是否是恶意的。Schless指出,在GooglePlayStore解决恶意软件分发者问题之前,用户必须时刻保持警惕。每个人都知道他们应该在他们的计算机上安装防病毒和反恶意软件应用程序。因此,我们的移动设备也应该安装这些软件,以确保安全。本文翻译自:https://threatpost.com/teabot-trojan-haunts-google-play-store/178738/如有转载请注明出处。
