TeaBot 是一款從 2021 年初開始冒頭的 Android 網銀木馬,旨在竊取受害者的憑證和短信。為實現這一目的,這款遠程訪問木馬(RAT)利用了移動設備的實時流式傳輸(按需請求)和輔助功能,使得攻擊者能夠接管受害者的賬戶。起初 TeaBot 是通過山寨惡意軟件和詐騙短信來分發的。然而近期的案例,揭示其已升級了側載技術、甚至潛入了谷歌 Play 應用商店。
嵌入 Google Play 的惡意應用示例(圖自:Cleafy)
過去數月,我們發現攻擊目標有大幅增加之勢。在檢出的 400+ 惡意應用中,涵蓋了網銀、加密貨幣(交易所 / 錢包)、數字保險等領域,且遍布美、俄等市場區域。
通過虛假更新方式誘騙安裝的 TeaBot
早在 2021 年 5 月,Cleafy Labs 就報道了在意大利出現、主要針對歐洲銀行的一款 Android 惡意軟件。不過去年的 TeaBot,總給人以一種仍處於早期開發階段的感覺。
用於存儲 TeaBot 示例的 Github 存儲庫
早期 Teabot 主要通過預先定義的“誘餌列表”來散播,比如將自己偽裝成 TeaTV、VLC 媒體播放器、或者 DHL / UPS 快遞等正版應用。
TeaBot 感染鏈
直到 2022 年 2 月 21 日,Cleafy 威脅情報和事件響應團隊(TIR)發現了一款混入 Google Play 官方應用商店的惡意軟件,特點是將自己偽裝成了 App 更新包。
安裝階段索取的應用權限
為了忽悠更多人下載安裝,攻擊者似乎還會忽悠人給自己刷好評。畢竟在明面上,它很可能只以“二維碼掃描器”的面目示人。截止 Cleafy 發稿時,其下載量已超 10000+,且幾乎看不到中差評。
TabBot 添加了對更多語言的支持
但在得逞之後,惡意軟件的“下崽器”(dropper)才會露出自己的真實想法 —— 與通過官方 Play 商店下載的合法 Android 應用不同,dropper 會忽悠用戶下載另一款應用(檢出為 TeaBot 惡意軟件)。
最近樣本中還看到了最新引入的反偵察手段
與 2021 上半年發現的樣本相比,2022 年 2 月的新版 TeaBot 惡意軟件,已經大舉擴展了自己的偽裝,涵蓋了網銀、保險、加密錢包 / 交易所等類型。
在不到一年的時間裡,TeaBot 針對的應用程序數量從 60 暴漲到了 400 多個,增幅達到了驚人的 500% 。
顯然,即便谷歌應用商店具有一定的反病毒檢測能力,但還是攔不住 Android 用戶被忽悠並側載 TeaBot 之類的惡意軟件。