TeaBot 是一款從 2021 年初開始冒頭的 Android 網銀木馬，旨在竊取受害者的憑證和短信。為實現(xiàn)這一目的，這款遠程訪問木馬(RAT)利用了移動設備的實時流式傳輸(按需請求)和輔助功能，使得攻擊者能夠接管受害者的賬戶。起初 TeaBot 是通過山寨惡意軟件和詐騙短信來分發(fā)的。然而近期的案例，揭示其已升級了側載技術、甚至潛入了谷歌 Play 應用商店。

嵌入 Google Play 的惡意應用示例(圖自：Cleafy)

過去數(shù)月，我們發(fā)現(xiàn)攻擊目標有大幅增加之勢。在檢出的 400+ 惡意應用中，涵蓋了網銀、加密貨幣(交易所 / 錢包)、數(shù)字保險等領域，且遍布美、俄等市場區(qū)域。

通過虛假更新方式誘騙安裝的 TeaBot

早在 2021 年 5 月，Cleafy Labs 就報道了在意大利出現(xiàn)、主要針對歐洲銀行的一款 Android 惡意軟件。不過去年的 TeaBot，總給人以一種仍處于早期開發(fā)階段的感覺。

用于存儲 TeaBot 示例的 Github 存儲庫

早期 Teabot 主要通過預先定義的“誘餌列表”來散播，比如將自己偽裝成 TeaTV、VLC 媒體播放器、或者 DHL / UPS 快遞等正版應用。

TeaBot 感染鏈

直到 2022 年 2 月 21 日，Cleafy 威脅情報和事件響應團隊(TIR)發(fā)現(xiàn)了一款混入 Google Play 官方應用商店的惡意軟件，特點是將自己偽裝成了 App 更新包。

安裝階段索取的應用權限

為了忽悠更多人下載安裝，攻擊者似乎還會忽悠人給自己刷好評。畢竟在明面上，它很可能只以“二維碼掃描器”的面目示人。截止 Cleafy 發(fā)稿時，其下載量已超 10000+，且?guī)缀蹩床坏街胁钤u。

TabBot 添加了對更多語言的支持

但在得逞之后，惡意軟件的“下崽器”(dropper)才會露出自己的真實想法 —— 與通過官方 Play 商店下載的合法 Android 應用不同，dropper 會忽悠用戶下載另一款應用(檢出為 TeaBot 惡意軟件)。

最近樣本中還看到了最新引入的反偵察手段

與 2021 上半年發(fā)現(xiàn)的樣本相比，2022 年 2 月的新版 TeaBot 惡意軟件，已經大舉擴展了自己的偽裝，涵蓋了網銀、保險、加密錢包 / 交易所等類型。

在不到一年的時間里，TeaBot 針對的應用程序數(shù)量從 60 暴漲到了 400 多個，增幅達到了驚人的 500% 。

顯然，即便谷歌應用商店具有一定的反病毒檢測能力，但還是攔不住 Android 用戶被忽悠并側載 TeaBot 之類的惡意軟件。