TeaBot 木马再次出现在 Google Play 商店

来自Cleafy的研究人员发现，TeaBot银行木马，也被称为 "Anatsa"，目前已经在Google Play商店中被发现。

该恶意软件，其主要攻击方式是拦截不知情的用户的短信和登录凭证。其报告声称，目前已经影响了400多个银行和金融应用程序的用户，这其中包括了来自俄罗斯、中国和美国的银行应用程序。

这并不是TeaBot第一次攻击安卓用户。

TeaBot还没有死亡

TeaBot是去年首次被发现的。这是一个相对简单的恶意软件，其攻击目的是为了从受感染的设备中窃取银行、联系人、短信和其他类型的私人数据。它的独特之处在于，由于其使用了非常巧妙的传播手段，使得它具有了非常持久的攻击能力。

TeaBot不需要使用恶意的电子邮件或短信，不需要使用欺诈性的网站或第三方服务。相反，它通常会被打包在一个下载程序中。该下载程序从外部看是合法的程序，但实际上是传递第二阶段恶意有效载荷的载体。

TeaBot的下载程序将自己伪装成了一个普通的二维码或PDF阅读器。Lookout公司的安全研究人员通过电子邮件解释说，攻击者通常会将程序伪装成二维码扫描器、手电筒、照片过滤器或PDF扫描器等实用程序，因为这些程序通常是人们出于急迫需要才进行下载的，他们不会花太多的时间来查看那些用户的使用评论。

这种策略似乎是非常有效的。今年1月，一个名为"二维码阅读器-扫描器" 的应用程序在一个多月的时间里分发了17种不同的Teabot变体。在被发现时，它已经成功地获得了超过10万次的下载量。

荷兰安全公司ThreatFabric在去年11月发现的其他TeaBot投放器，已经伪装成了许多名字，如QR Scanner 2021、PDF Document Scanner和CryptoTracker。据安全公司Cleafy称，目前最新的是QR Code & Barcode - Scanner。

为什么不能阻止TeaBot?

应用商店一直有打击恶意软件的策略和保护措施。例如，谷歌游戏保护(Google Play Protect)策略有助于清除恶意应用程序，并每天扫描应用程序的危险行为。

然而，TeaBot投放器很难看出是恶意的。它们可能看起来非常无聊。

一旦有用户打开了这些不知名的应用程序，他们会被提示进行下载一个软件更新器。事实上，该软件是第二个包含恶意有效载荷的应用程序。

如果用户允许他们的应用程序安装来自未知来源的软件，那么这个感染过程就开始了。与其他安卓恶意软件一样，TeaBot恶意软件会试图利用可访问的服务。这类攻击会使用先进的远程访问功能，滥用一种名为TeamViewer的远程访问和桌面共享工具，该工具可以让使用恶意软件攻击的犯罪分子对受害者的设备进行远程控制。

报告说，这些攻击的最终目的是为了检索敏感信息，如设备屏幕上的登录凭证、短信和2FA代码，以及在设备上所执行的恶意操作。

如何防止TeaBot的方法

TeaBot的攻击频率增长迅速。正如Cleafy所指出的，在不到一年的时间里，TeaBot所攻击的应用程序的数量已经增长了500%以上，从60个目标变成了400多个。

怎样才能阻止它们呢?

nVisium公司的安全研究人员通过电子邮件告诉媒体，对应用程序的下载进行实时扫描，即使应用程序不是来自Google Play，也会有助于缓解这个问题，在安装不在Google Play上的应用程序附加组件时，一些额外的警告信息也可能是有用的。

谷歌目前可能正在对应用程序运行的许可权限进行检查，然后获得特定的硬编码的公共IP和域名的列表。同时，谷歌可以通过各种方式来调查它们，观察它们是否是恶意的。

Schless指出，在谷歌应用商店解决恶意软件投放者的问题之前，用户一定要时刻保持警惕。每个人都知道他们应该在电脑上安装防病毒和防恶意软件的应用程序。因此，我们的移动设备也应该安装这些软件来确保安全。

本文翻译自：https://threatpost.com/teabot-trojan-haunts-google-play-store/178738/如若转载，请注明原文地址。