周一安全機(jī)構(gòu)警告一個(gè)針對(duì)Android的新木馬“TeaBot”正在傳播。該惡意軟件竊取用戶的憑證和短信以對(duì)西班牙、德國(guó)、意大利、比利時(shí)和荷蘭的銀行進(jìn)行欺詐活動(dòng)。 該惡意軟件被稱為 "TeaBot"(或Anatsa)，據(jù)稱處于發(fā)展的初始階段。

雖然TeaBot的活動(dòng)從1月開始就為人所知，但更多針對(duì)金融應(yīng)用程序的惡意攻擊在2021年3月底開始。在5月的第一周，更嚴(yán)重的攻擊針對(duì)來自比利時(shí)和荷蘭的銀行。

意大利網(wǎng)絡(luò)安全和在線欺詐預(yù)防公司Cleafy表示，"TeaBot的主要目標(biāo)是竊取受害者的憑證和短信，以實(shí)現(xiàn)對(duì)預(yù)定的銀行名單的欺詐方案。

"一旦TeaBot成功安裝在受害者的設(shè)備上，攻擊者就可以獲得設(shè)備屏幕的實(shí)時(shí)流媒體(按需)，還可以通過無障礙服務(wù)與之互動(dòng)。"

這一木馬病毒應(yīng)用Android模仿媒體和包裹運(yùn)送服務(wù)，如TeaTV、VLC媒體播放器、DHL和UPS。該惡意軟件被當(dāng)成是滴管，主要用于加載第二階段的惡意軟件載荷，并迫使受害者授予其可訪問性服務(wù)權(quán)限。

TeaBot利用訪問權(quán)限實(shí)現(xiàn)與被攻擊設(shè)備的實(shí)時(shí)互動(dòng)，允許不良行為者記錄擊鍵、截圖，并在銀行應(yīng)用程序的登錄屏幕上注入惡意覆蓋。這樣，密碼和信用卡信息就可以被提取出來。

TeaBot還可以禁用Google Play Protect，攔截短信，并訪問Google Authenticator 2FA代碼，等等。然后，收集到的數(shù)據(jù)每隔10秒就會(huì)被發(fā)送到一個(gè)由攻擊者控制的遠(yuǎn)程服務(wù)器。

最近幾個(gè)月，利用可訪問性服務(wù)作為竊取數(shù)據(jù)的墊腳石的Android惡意軟件越來越多。TeaBot似乎使用了與Flubot相同的誘餌，冒充無害的應(yīng)用程序，由于FluBot感染的數(shù)量增加，德國(guó)和英國(guó)在上個(gè)月發(fā)出警報(bào)，警告正在進(jìn)行的攻擊使用釣魚短信欺騙用戶安裝間諜軟件，竊取密碼和其他敏感數(shù)據(jù)。