磨刀一年:TeaBot安卓惡意軟件在全球範圍內更肆虐了
TeaBot 是一款從2021 年初開始冒頭的Android 網銀木馬,旨在竊取受害者的憑證和短信。為實現這一目的,這款遠程訪問木馬(RAT)利用了移動設備的實時流式傳輸(按需請求)和輔助功能,使得攻擊者能夠接管受害者的賬戶。起初TeaBot 是通過山寨惡意軟件和詐騙短信來分發的。然而近期的案例,揭示其已升級了側載技術、甚至潛入了谷歌Play 應用商店。
嵌入Google Play 的惡意應用示例(圖自:Cleafy)
過去數月,我們發現攻擊目標有大幅增加之勢。在檢出的400+ 惡意應用中,涵蓋了網銀、加密貨幣(交易所/ 錢包)、數字保險等領域,且遍布美、俄等市場區域。
通過虛假更新方式誘騙安裝的TeaBot
早在2021 年5 月,Cleafy Labs 就報導了在意大利出現、主要針對歐洲銀行的一款Android 惡意軟件。不過去年的TeaBot,總給人以一種仍處於早期開發階段的感覺。
用於存儲TeaBot 示例的Github 存儲庫
早期Teabot 主要通過預先定義的“誘餌列表”來散播,比如將自己偽裝成TeaTV、VLC 媒體播放器、或者DHL / UPS 快遞等正版應用。
TeaBot 感染鏈
直到2022 年2 月21 日,Cleafy 威脅情報和事件響應團隊(TIR)發現了一款混入Google Play 官方應用商店的惡意軟件,特點是將自己偽裝成了App 更新包。
安裝階段索取的應用權限
為了忽悠更多人下載安裝,攻擊者似乎還會忽悠人給自己刷好評。畢竟在明面上,它很可能只以“二維碼掃描器”的面目示人。截止Cleafy 發稿時,其下載量已超10000+,且幾乎看不到中差評。
TabBot 添加了對更多語言的支持
但在得逞之後,惡意軟件的“下崽器”(dropper)才會露出自己的真實想法—— 與通過官方Play 商店下載的合法Android 應用不同,dropper 會忽悠用戶下載另一款應用(檢出為TeaBot 惡意軟件)。
最近樣本中還看到了最新引入的反偵察手段
與2021 上半年發現的樣本相比,2022 年2 月的新版TeaBot 惡意軟件,已經大舉擴展了自己的偽裝,涵蓋了網銀、保險、加密錢包/ 交易所等類型。
在不到一年的時間裡,TeaBot 針對的應用程序數量從60 暴漲到了400 多個,增幅達到了驚人的500% 。
顯然,即便谷歌應用商店具有一定的反病毒檢測能力,但還是攔不住Android 用戶被忽悠並側載TeaBot 之類的惡意軟件。