TeaBot是一种Android银行木马,自2021年初以来一直不断涌现,旨在窃取受害者的凭据和短信。为实现这一目标,远程访问木马(RAT)利用移动设备的直播(点播请求)和辅助功能,允许攻击者接管受害者的帐户。起初,TeaBot是通过模仿恶意软件和诈骗短信进行分发的。然而,最近的案例显示,它已经升级了侧载技术,甚至潜入了GooglePlay应用商店。GooglePlay中嵌入的恶意应用程序示例(图:Cleafy)在过去的几个月中,我们看到攻击目标显着增加。在检测到的400+恶意应用中,涵盖了网上银行、加密货币(交易所/钱包)、数字保险等领域,遍布美国、俄罗斯等市场区域。TeaBot通过虚假更新引诱安装早在2021年5月,CleafyLabs就报告了一种Android恶意软件,该恶意软件出现在意大利,主要针对欧洲银行。不过去年的TeaBot总给人一种还处于早期开发阶段的感觉。用于存储TeaBot示例的Github仓库早期的Teabot主要通过预先定义的“诱饵列表”进行传播,例如将自己伪装成TeaTV、VLC媒体播放器或DHL/UPS快递等合法应用程序。TeaBot感染链直到2022年2月21日,Cleafy威胁情报和事件响应小组(TIR)发现了一种混入GooglePlay官方应用商店的恶意软件,其特点是伪装成App更新包。安装阶段请求的应用权限是为了骗取更多人下载安装,攻击者似乎是在骗人给自己好评。毕竟,从好的方面来说,它很可能只会以“二维码扫描仪”的形式向人们展示。截至Cleafy发稿,其下载量已突破10000+,几乎没有中差评。TabBot添加了对更多语言的支持,但只有在它成功后,恶意软件的“植入程序”才会揭示其真实意图——与通过官方Play商店下载的合法Android应用程序不同,植入程序会诱使用户下载另一个应用程序(被检测为TeaBot恶意软件)。近期样本中也出现了近期引入的反侦察手段与2021年上半年发现的样本相比,2022年2月新版TeaBot恶意软件的伪装范围大大扩大,涵盖网银、保险、加密钱包/交易所有类型。在不到一年的时间里,TeaBot瞄准的应用程序数量从60个激增到400多个,增幅达到惊人的500%。显然,即使GooglePlay商店具有一些防病毒检测功能,它仍然无法阻止Android用户被骗到像TeaBot这样的侧载恶意软件。
