TeaBot木馬再次出現在Google Play商店

來自Cleafy的研究人員發現，TeaBot銀行木馬，也被稱為 "Anatsa"，目前已經在Google Play商店中被發現。

該惡意軟件，其主要攻擊方式是攔截不知情的用戶的短信和登錄憑證。其報告聲稱，目前已經影響了400多個銀行和金融應用程序的用戶，這其中包括了來自俄羅斯、中國和美國的銀行應用程序。

這并不是TeaBot第一次攻擊安卓用戶。

TeaBot還沒有死亡

TeaBot是去年首次被發現的。這是一個相對簡單的惡意軟件，其攻擊目的是為了從受感染的設備中竊取銀行、聯系人、短信和其他類型的私人數據。它的獨特之處在于，由于其使用了非常巧妙的傳播手段，使得它具有了非常持久的攻擊能力。

TeaBot不需要使用惡意的電子郵件或短信，不需要使用欺詐性的網站或第三方服務。相反，它通常會被打包在一個下載程序中。該下載程序從外部看是合法的程序，但實際上是傳遞第二階段惡意有效載荷的載體。

TeaBot的下載程序將自己偽裝成了一個普通的二維碼或PDF閱讀器。Lookout公司的安全研究人員通過電子郵件解釋說，攻擊者通常會將程序偽裝成二維碼掃描器、手電筒、照片過濾器或PDF掃描器等實用程序，因為這些程序通常是人們出于急迫需要才進行下載的，他們不會花太多的時間來查看那些用戶的使用評論。

這種策略似乎是非常有效的。今年1月，一個名為"二維碼閱讀器-掃描器" 的應用程序在一個多月的時間里分發了17種不同的Teabot變體。在被發現時，它已經成功地獲得了超過10萬次的下載量。

荷蘭安全公司ThreatFabric在去年11月發現的其他TeaBot投放器，已經偽裝成了許多名字，如QR Scanner 2021、PDF Document Scanner和CryptoTracker。據安全公司Cleafy稱，目前最新的是QR Code & Barcode - Scanner。

為什么不能阻止TeaBot？

應用商店一直有打擊惡意軟件的策略和保護措施。例如，谷歌游戲保護(Google Play Protect)策略有助于清除惡意應用程序，并每天掃描應用程序的危險行為。

然而，TeaBot投放器很難看出是惡意的。它們可能看起來非常無聊。

一旦有用戶打開了這些不知名的應用程序，他們會被提示進行下載一個軟件更新器。事實上，該軟件是第二個包含惡意有效載荷的應用程序。

如果用戶允許他們的應用程序安裝來自未知來源的軟件，那么這個感染過程就開始了。與其他安卓惡意軟件一樣，TeaBot惡意軟件會試圖利用可訪問的服務。這類攻擊會使用先進的遠程訪問功能，濫用一種名為TeamViewer的遠程訪問和桌面共享工具，該工具可以讓使用惡意軟件攻擊的犯罪分子對受害者的設備進行遠程控制。

報告說，這些攻擊的最終目的是為了檢索敏感信息，如設備屏幕上的登錄憑證、短信和2FA代碼，以及在設備上所執行的惡意操作。

如何防止TeaBot的方法

TeaBot的攻擊頻率增長迅速。正如Cleafy所指出的，在不到一年的時間里，TeaBot所攻擊的應用程序的數量已經增長了500%以上，從60個目標變成了400多個。

怎樣才能阻止它們呢？

nVisium公司的安全研究人員通過電子郵件告訴媒體，對應用程序的下載進行實時掃描，即使應用程序不是來自Google Play，也會有助于緩解這個問題，在安裝不在Google Play上的應用程序附加組件時，一些額外的警告信息也可能是有用的。

谷歌目前可能正在對應用程序運行的許可權限進行檢查，然后獲得特定的硬編碼的公共IP和域名的列表。同時，谷歌可以通過各種方式來調查它們，觀察它們是否是惡意的。

Schless指出，在谷歌應用商店解決惡意軟件投放者的問題之前，用戶一定要時刻保持警惕。每個人都知道他們應該在電腦上安裝防病毒和防惡意軟件的應用程序。因此，我們的移動設備也應該安裝這些軟件來確保安全。

參考及來源：https://threatpost.com/teabot-trojan-haunts-google-play-store/178738/