周一,安全机构警告称,新型Android木马“TeaBot”正在蔓延。该恶意软件窃取用户的凭据和短信,以诈骗西班牙、德国、意大利、比利时和荷兰的银行。被称为“TeaBot”(或Anatsa)的恶意软件据说处于开发的初始阶段。虽然TeaBot的活动自1月以来就为人所知,但更多针对金融应用程序的恶意攻击始于2021年3月下旬。在5月的第一周,更严重的攻击针对的是比利时和荷兰的银行。根据意大利网络安全和在线防欺诈公司Cleafy的说法,“TeaBot的主要目标是窃取受害者的凭证和短信,以便针对预先确定的银行名单实施欺诈计划。”一旦TeaBot成功安装在受害者的设备上,攻击者就可以获得设备屏幕的实时流式传输(点播),并通过辅助功能服务与其交互。“这个适用于Android的木马应用程序模仿TeaTV、VLC媒体播放器、DHL和UPS等媒体和包裹递送服务。该恶意软件用作投放器来加载第二阶段的恶意软件有效负载并强制受害者访问攻击者授予其可访问性服务TeaBot利用访问权限实现与受感染设备的实时交互,允许不良行为者记录击键、截取屏幕截图,并在银行应用程序的登录屏幕上注入恶意覆盖。通过这种方式,密码和信用卡信息可以被泄露TeaBot还可以禁用GooglePlayProtect、拦截短信和访问GoogleAuthenticator2FA代码等。收集的数据然后每10秒发送一次到攻击者控制的远程服务器。最近几个月,有增加使用辅助功能服务作为窃取数据垫脚石的Android恶意软件。TeaBot似乎使用与Flubot相同的诱饵,伪装成无害的应用程序。由于增加考虑到FluBot感染的数量,德国和英国上个月敲响了警钟,警告人们正在使用网络钓鱼短信诱骗用户安装间谍软件并窃取密码和其他敏感数据。
