TeaBot 木馬再次出現(xiàn)在 Google Play 商店
來自Cleafy的研究人員發(fā)現(xiàn),TeaBot銀行木馬,也被稱為 "Anatsa",目前已經(jīng)在Google Play商店中被發(fā)現(xiàn)。
該惡意軟件,其主要攻擊方式是攔截不知情的用戶的短信和登錄憑證。其報告聲稱,目前已經(jīng)影響了400多個銀行和金融應(yīng)用程序的用戶,這其中包括了來自俄羅斯、中國和美國的銀行應(yīng)用程序。
這并不是TeaBot第一次攻擊安卓用戶。
TeaBot還沒有死亡
TeaBot是去年首次被發(fā)現(xiàn)的。這是一個相對簡單的惡意軟件,其攻擊目的是為了從受感染的設(shè)備中竊取銀行、聯(lián)系人、短信和其他類型的私人數(shù)據(jù)。它的獨(dú)特之處在于,由于其使用了非常巧妙的傳播手段,使得它具有了非常持久的攻擊能力。
TeaBot不需要使用惡意的電子郵件或短信,不需要使用欺詐性的網(wǎng)站或第三方服務(wù)。相反,它通常會被打包在一個下載程序中。該下載程序從外部看是合法的程序,但實(shí)際上是傳遞第二階段惡意有效載荷的載體。
TeaBot的下載程序?qū)⒆约簜窝b成了一個普通的二維碼或PDF閱讀器。Lookout公司的安全研究人員通過電子郵件解釋說,攻擊者通常會將程序偽裝成二維碼掃描器、手電筒、照片過濾器或PDF掃描器等實(shí)用程序,因?yàn)檫@些程序通常是人們出于急迫需要才進(jìn)行下載的,他們不會花太多的時間來查看那些用戶的使用評論。
這種策略似乎是非常有效的。今年1月,一個名為"二維碼閱讀器-掃描器" 的應(yīng)用程序在一個多月的時間里分發(fā)了17種不同的Teabot變體。在被發(fā)現(xiàn)時,它已經(jīng)成功地獲得了超過10萬次的下載量。
荷蘭安全公司ThreatFabric在去年11月發(fā)現(xiàn)的其他TeaBot投放器,已經(jīng)偽裝成了許多名字,如QR Scanner 2021、PDF Document Scanner和CryptoTracker。據(jù)安全公司Cleafy稱,目前最新的是QR Code & Barcode - Scanner。
為什么不能阻止TeaBot?
應(yīng)用商店一直有打擊惡意軟件的策略和保護(hù)措施。例如,谷歌游戲保護(hù)(Google Play Protect)策略有助于清除惡意應(yīng)用程序,并每天掃描應(yīng)用程序的危險行為。
然而,TeaBot投放器很難看出是惡意的。它們可能看起來非常無聊。
一旦有用戶打開了這些不知名的應(yīng)用程序,他們會被提示進(jìn)行下載一個軟件更新器。事實(shí)上,該軟件是第二個包含惡意有效載荷的應(yīng)用程序。
如果用戶允許他們的應(yīng)用程序安裝來自未知來源的軟件,那么這個感染過程就開始了。與其他安卓惡意軟件一樣,TeaBot惡意軟件會試圖利用可訪問的服務(wù)。這類攻擊會使用先進(jìn)的遠(yuǎn)程訪問功能,濫用一種名為TeamViewer的遠(yuǎn)程訪問和桌面共享工具,該工具可以讓使用惡意軟件攻擊的犯罪分子對受害者的設(shè)備進(jìn)行遠(yuǎn)程控制。
報告說,這些攻擊的最終目的是為了檢索敏感信息,如設(shè)備屏幕上的登錄憑證、短信和2FA代碼,以及在設(shè)備上所執(zhí)行的惡意操作。
如何防止TeaBot的方法
TeaBot的攻擊頻率增長迅速。正如Cleafy所指出的,在不到一年的時間里,TeaBot所攻擊的應(yīng)用程序的數(shù)量已經(jīng)增長了500%以上,從60個目標(biāo)變成了400多個。
怎樣才能阻止它們呢?
nVisium公司的安全研究人員通過電子郵件告訴媒體,對應(yīng)用程序的下載進(jìn)行實(shí)時掃描,即使應(yīng)用程序不是來自Google Play,也會有助于緩解這個問題,在安裝不在Google Play上的應(yīng)用程序附加組件時,一些額外的警告信息也可能是有用的。
谷歌目前可能正在對應(yīng)用程序運(yùn)行的許可權(quán)限進(jìn)行檢查,然后獲得特定的硬編碼的公共IP和域名的列表。同時,谷歌可以通過各種方式來調(diào)查它們,觀察它們是否是惡意的。
Schless指出,在谷歌應(yīng)用商店解決惡意軟件投放者的問題之前,用戶一定要時刻保持警惕。每個人都知道他們應(yīng)該在電腦上安裝防病毒和防惡意軟件的應(yīng)用程序。因此,我們的移動設(shè)備也應(yīng)該安裝這些軟件來確保安全。
本文翻譯自:https://threatpost.com/teabot-trojan-haunts-google-play-store/178738/如若轉(zhuǎn)載,請注明原文地址。
