社区编辑申请
注册/登录
磨刀一年:TeaBot安卓恶意软件在全球范围内更猖狂了
安全 应用安全
早期 Teabot 主要通过预先定义的“诱饵列表”来散播,比如将自己伪装成 TeaTV、VLC 媒体播放器、或者 DHL / UPS 快递等正版应用。直到 2022 年 2 月 21 日,Cleafy 威胁情报和事件响应团队(TIR)发现了一款混入 Google Play 官方应用商店的恶意软件,特点是将自己伪装成了 App 更新包。

TeaBot 是一款从 2021 年初开始冒头的 Android 网银木马,旨在窃取受害者的凭证和短信。为实现这一目的,这款远程访问木马(RAT)利用了移动设备的实时流式传输(按需请求)和辅助功能,使得攻击者能够接管受害者的账户。起初 TeaBot 是通过山寨恶意软件和诈骗短信来分发的。然而近期的案例,揭示其已升级了侧载技术、甚至潜入了谷歌 Play 应用商店。

嵌入 Google Play 的恶意应用示例(图自:Cleafy)

过去数月,我们发现攻击目标有大幅增加之势。在检出的 400+ 恶意应用中,涵盖了网银、加密货币(交易所 / 钱包)、数字保险等领域,且遍布美、俄等市场区域。

通过虚假更新方式诱骗安装的 TeaBot

早在 2021 年 5 月,Cleafy Labs 就报道了在意大利出现、主要针对欧洲银行的一款 Android 恶意软件。不过去年的 TeaBot,总给人以一种仍处于早期开发阶段的感觉。

用于存储 TeaBot 示例的 Github 存储库

早期 Teabot 主要通过预先定义的“诱饵列表”来散播,比如将自己伪装成 TeaTV、VLC 媒体播放器、或者 DHL / UPS 快递等正版应用。

TeaBot 感染链

直到 2022 年 2 月 21 日,Cleafy 威胁情报和事件响应团队(TIR)发现了一款混入 Google Play 官方应用商店的恶意软件,特点是将自己伪装成了 App 更新包。

安装阶段索取的应用权限

为了忽悠更多人下载安装,攻击者似乎还会忽悠人给自己刷好评。毕竟在明面上,它很可能只以“二维码扫描器”的面目示人。截止 Cleafy 发稿时,其下载量已超 10000+,且几乎看不到中差评。

TabBot 添加了对更多语言的支持

但在得逞之后,恶意软件的“下崽器”(dropper)才会露出自己的真实想法 —— 与通过官方 Play 商店下载的合法 Android 应用不同,dropper 会忽悠用户下载另一款应用(检出为 TeaBot 恶意软件)。

最近样本中还看到了最新引入的反侦察手段

与 2021 上半年发现的样本相比,2022 年 2 月的新版 TeaBot 恶意软件,已经大举扩展了自己的伪装,涵盖了网银、保险、加密钱包 / 交易所等类型。

在不到一年的时间里,TeaBot 针对的应用程序数量从 60 暴涨到了 400 多个,增幅达到了惊人的 500% 。

显然,即便谷歌应用商店具有一定的反病毒检测能力,但还是拦不住 Android 用户被忽悠并侧载 TeaBot 之类的恶意软件。

责任编辑:未丽燕 来源: cnBeta.COM
相关推荐

2022-06-13 11:57:03

移动攻击勒索软件恶意软件

2022-01-28 07:03:56

2022-02-15 14:01:01

2022-04-02 11:17:43

勒索软件网络安全网络攻击

2021-05-12 13:27:33

Android木马病毒TeaBot

2021-12-29 00:04:56

2021-10-25 11:45:47

2021-11-22 12:12:29

2021-11-16 11:08:37

2021-03-15 09:27:36

恶意软件TrickBot僵尸网络

2021-10-25 06:01:36

2021-10-29 16:28:48

2021-10-08 08:24:40

2021-10-12 18:59:05

2021-02-28 09:36:14

勒索恶意软件网络威胁

2020-09-10 17:56:50

存储

2021-03-31 09:17:46

Android恶意软件攻击

2020-09-10 14:31:50

网络安全

2021-10-17 20:01:40

2013-01-28 14:02:34

手机杀毒软件手机安全手机病毒

同话题下的热门内容

都说区块链“安全”,为什么 DeFi 黑客如此猖獗?关于Web渗透测试需要知道的一切:完整指南如何保护智能家居避免黑客攻击Verizon:物联网/移动网络攻击导致停机时间增加 22%黑客攻击接连不断,多链区块链愿景还存在吗?微软表示将向内部网络安全专家共享数据 为企业提供更安全保护微软365网络钓鱼攻击中滥用Snapchat和Amex网站如何逐步执行数据风险评估

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号