TeaBot 是一款從 2021 年初開始冒頭的 Android 網(wǎng)銀木馬，旨在竊取受害者的憑證和短信。為實(shí)現(xiàn)這一目的，這款遠(yuǎn)程訪問木馬(RAT)利用了移動(dòng)設(shè)備的實(shí)時(shí)流式傳輸(按需請求)和輔助功能，使得攻擊者能夠接管受害者的賬戶。起初 TeaBot 是通過山寨惡意軟件和詐騙短信來分發(fā)的。然而近期的案例，揭示其已升級(jí)了側(cè)載技術(shù)、甚至潛入了谷歌 Play 應(yīng)用商店。

嵌入 Google Play 的惡意應(yīng)用示例(圖自：Cleafy)

過去數(shù)月，我們發(fā)現(xiàn)攻擊目標(biāo)有大幅增加之勢。在檢出的 400+ 惡意應(yīng)用中，涵蓋了網(wǎng)銀、加密貨幣(交易所 / 錢包)、數(shù)字保險(xiǎn)等領(lǐng)域，且遍布美、俄等市場區(qū)域。

通過虛假更新方式誘騙安裝的 TeaBot

早在 2021 年 5 月，Cleafy Labs 就報(bào)道了在意大利出現(xiàn)、主要針對歐洲銀行的一款 Android 惡意軟件。不過去年的 TeaBot，總給人以一種仍處于早期開發(fā)階段的感覺。

用于存儲(chǔ) TeaBot 示例的 Github 存儲(chǔ)庫

早期 Teabot 主要通過預(yù)先定義的“誘餌列表”來散播，比如將自己偽裝成 TeaTV、VLC 媒體播放器、或者 DHL / UPS 快遞等正版應(yīng)用。

TeaBot 感染鏈

直到 2022 年 2 月 21 日，Cleafy 威脅情報(bào)和事件響應(yīng)團(tuán)隊(duì)(TIR)發(fā)現(xiàn)了一款混入 Google Play 官方應(yīng)用商店的惡意軟件，特點(diǎn)是將自己偽裝成了 App 更新包。

安裝階段索取的應(yīng)用權(quán)限

為了忽悠更多人下載安裝，攻擊者似乎還會(huì)忽悠人給自己刷好評。畢竟在明面上，它很可能只以“二維碼掃描器”的面目示人。截止 Cleafy 發(fā)稿時(shí)，其下載量已超 10000+，且?guī)缀蹩床坏街胁钤u。

TabBot 添加了對更多語言的支持

但在得逞之后，惡意軟件的“下崽器”(dropper)才會(huì)露出自己的真實(shí)想法 —— 與通過官方 Play 商店下載的合法 Android 應(yīng)用不同，dropper 會(huì)忽悠用戶下載另一款應(yīng)用(檢出為 TeaBot 惡意軟件)。

最近樣本中還看到了最新引入的反偵察手段

與 2021 上半年發(fā)現(xiàn)的樣本相比，2022 年 2 月的新版 TeaBot 惡意軟件，已經(jīng)大舉擴(kuò)展了自己的偽裝，涵蓋了網(wǎng)銀、保險(xiǎn)、加密錢包 / 交易所等類型。

在不到一年的時(shí)間里，TeaBot 針對的應(yīng)用程序數(shù)量從 60 暴漲到了 400 多個(gè)，增幅達(dá)到了驚人的 500% 。

顯然，即便谷歌應(yīng)用商店具有一定的反病毒檢測能力，但還是攔不住 Android 用戶被忽悠并側(cè)載 TeaBot 之類的惡意軟件。