2021年1月,全球各地的Google Play商店均出现了TeaBot这个针对安卓设备的银行木马。该木马旨在窃取受害者的凭据信息和短信。
如今到了2022年2月,这个恶意木马再次潜入Google Play商店,躲藏在一款不起眼的二维码和条码扫描应用中。从各方面来看,该应用貌似都是合法的——它提供了所有承诺的功能,而且很受欢迎,安装量超过一万。
该应用下载完成后,会立即弹出一条消息要求更新。然而与合法应用不同的是,该应用要求安装一个“插件”,而不是更新应用。这个“插件”(QR Code Scanner: Add-On)随后从两个GitHub库(leroyanthanielxnlw和feleanicusor,目前均已被封)中提取恶意软件。
根据欺诈检测公司Cleafy的一份报告,恶意软件一旦安装,就会自动启动,并要求使用辅助服务,从而实现以下功能:
-
查看设备屏幕并截屏
-
在不与用户交互的情况下,后台自动授予额外权限
利用权限升级和截屏,该恶意软件能窃取受害者的登录凭据以及通过短信发送的双重验证码。报告还指出,TeaBot的感染范围正在扩大,并已开始支持新的语言,如俄语、斯洛伐克语和汉语普通话,以用于在安装阶段显示自定义信息。
进一步分析表明,该恶意软件规避检测的能力在不断增强,它采取了字符串混淆等措施来阻碍静态分析,从而降低市面上反恶意软件解决方案的检测率。
稿件来源:https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe