來自Cleafy的研究人員發(fā)現(xiàn)，TeaBot銀行木馬，也被稱為 "Anatsa"，目前已經(jīng)在Google Play商店中被發(fā)現(xiàn)。

該惡意軟件，其主要攻擊方式是攔截不知情的用戶的短信和登錄憑證。其報(bào)告聲稱，目前已經(jīng)影響了400多個(gè)銀行和金融應(yīng)用程序的用戶，這其中包括了來自俄羅斯、中國和美國的銀行應(yīng)用程序。

這并不是TeaBot第一次攻擊安卓用戶。

TeaBot還沒有死亡

TeaBot是去年首次被發(fā)現(xiàn)的。這是一個(gè)相對簡單的惡意軟件，其攻擊目的是為了從受感染的設(shè)備中竊取銀行、聯(lián)系人、短信和其他類型的私人數(shù)據(jù)。它的獨(dú)特之處在于，由于其使用了非常巧妙的傳播手段，使得它具有了非常持久的攻擊能力。

TeaBot不需要使用惡意的電子郵件或短信，不需要使用欺詐性的網(wǎng)站或第三方服務(wù)。相反，它通常會被打包在一個(gè)下載程序中。該下載程序從外部看是合法的程序，但實(shí)際上是傳遞第二階段惡意有效載荷的載體。

TeaBot的下載程序?qū)⒆约簜窝b成了一個(gè)普通的二維碼或PDF閱讀器。Lookout公司的安全研究人員通過電子郵件解釋說，攻擊者通常會將程序偽裝成二維碼掃描器、手電筒、照片過濾器或PDF掃描器等實(shí)用程序，因?yàn)檫@些程序通常是人們出于急迫需要才進(jìn)行下載的，他們不會花太多的時(shí)間來查看那些用戶的使用評論。

這種策略似乎是非常有效的。今年1月，一個(gè)名為"二維碼閱讀器-掃描器" 的應(yīng)用程序在一個(gè)多月的時(shí)間里分發(fā)了17種不同的Teabot變體。在被發(fā)現(xiàn)時(shí)，它已經(jīng)成功地獲得了超過10萬次的下載量。

荷蘭安全公司ThreatFabric在去年11月發(fā)現(xiàn)的其他TeaBot投放器，已經(jīng)偽裝成了許多名字，如QR Scanner 2021、PDF Document Scanner和CryptoTracker。據(jù)安全公司Cleafy稱，目前最新的是QR Code & Barcode - Scanner。

為什么不能阻止TeaBot?

應(yīng)用商店一直有打擊惡意軟件的策略和保護(hù)措施。例如，谷歌游戲保護(hù)(Google Play Protect)策略有助于清除惡意應(yīng)用程序，并每天掃描應(yīng)用程序的危險(xiǎn)行為。

然而，TeaBot投放器很難看出是惡意的。它們可能看起來非常無聊。

一旦有用戶打開了這些不知名的應(yīng)用程序，他們會被提示進(jìn)行下載一個(gè)軟件更新器。事實(shí)上，該軟件是第二個(gè)包含惡意有效載荷的應(yīng)用程序。

如果用戶允許他們的應(yīng)用程序安裝來自未知來源的軟件，那么這個(gè)感染過程就開始了。與其他安卓惡意軟件一樣，TeaBot惡意軟件會試圖利用可訪問的服務(wù)。這類攻擊會使用先進(jìn)的遠(yuǎn)程訪問功能，濫用一種名為TeamViewer的遠(yuǎn)程訪問和桌面共享工具，該工具可以讓使用惡意軟件攻擊的犯罪分子對受害者的設(shè)備進(jìn)行遠(yuǎn)程控制。

報(bào)告說，這些攻擊的最終目的是為了檢索敏感信息，如設(shè)備屏幕上的登錄憑證、短信和2FA代碼，以及在設(shè)備上所執(zhí)行的惡意操作。

如何防止TeaBot的方法

TeaBot的攻擊頻率增長迅速。正如Cleafy所指出的，在不到一年的時(shí)間里，TeaBot所攻擊的應(yīng)用程序的數(shù)量已經(jīng)增長了500%以上，從60個(gè)目標(biāo)變成了400多個(gè)。

怎樣才能阻止它們呢?

nVisium公司的安全研究人員通過電子郵件告訴媒體，對應(yīng)用程序的下載進(jìn)行實(shí)時(shí)掃描，即使應(yīng)用程序不是來自Google Play，也會有助于緩解這個(gè)問題，在安裝不在Google Play上的應(yīng)用程序附加組件時(shí)，一些額外的警告信息也可能是有用的。

谷歌目前可能正在對應(yīng)用程序運(yùn)行的許可權(quán)限進(jìn)行檢查，然后獲得特定的硬編碼的公共IP和域名的列表。同時(shí)，谷歌可以通過各種方式來調(diào)查它們，觀察它們是否是惡意的。

Schless指出，在谷歌應(yīng)用商店解決惡意軟件投放者的問題之前，用戶一定要時(shí)刻保持警惕。每個(gè)人都知道他們應(yīng)該在電腦上安裝防病毒和防惡意軟件的應(yīng)用程序。因此，我們的移動設(shè)備也應(yīng)該安裝這些軟件來確保安全。

本文翻譯自：https://threatpost.com/teabot-trojan-haunts-google-play-store/178738/如若轉(zhuǎn)載，請注明原文地址。