磨刀一年：TeaBot安卓恶意软件在全球范围内更猖狂了

TeaBot 是一款从 2021 年初开始冒头的 Android 网银木马，旨在窃取受害者的凭证和短信。为实现这一目的，这款远程访问木马(RAT)利用了移动设备的实时流式传输(按需请求)和辅助功能，使得攻击者能够接管受害者的账户。起初 TeaBot 是通过山寨恶意软件和诈骗短信来分发的。然而近期的案例，揭示其已升级了侧载技术、甚至潜入了谷歌 Play 应用商店。 嵌入 Google Play 的恶意应用示例(图自：Cleafy) 过去数月，我们发现攻击目标有大幅增加之势。在检出的 400+ 恶意应用中，涵盖了网银、加密货币(交易所 / 钱包)、数字保险等领域，且遍布美、俄等市场区域。 通过虚假更新方式诱骗安装的 TeaBot 早在 2021 年 5 月，Cleafy Labs 就报道了在意大利出现、主要针对欧洲银行的一款 Android 恶意软件。不过去年的 TeaBot，总给人以一种仍处于早期开发阶段的感觉。 用于存储 TeaBot 示例的 Github 存储库 早期 Teabot 主要通过预先定义的“诱饵列表”来散播，比如将自己伪装成 TeaTV、VLC 媒体播放器、或者 DHL / UPS 快递等正版应用。 TeaBot 感染链 直到 2022 年 2 月 21 日，Cleafy 威胁情报和事件响应团队(TIR)发现了一款混入 Google Play 官方应用商店的恶意软件，特点是将自己伪装成了 App 更新包。 安装阶段索取的应用权限 为了忽悠更多人下载安装，攻击者似乎还会忽悠人给自己刷好评。毕竟在明面上，它很可能只以“二维码扫描器”的面目示人。截止 Cleafy 发稿时，其下载量已超 10000+，且几乎看不到中差评。 TabBot 添加了对更多语言的支持 但在得逞之后，恶意软件的“下崽器”(dropper)才会露出自己的真实想法 —— 与通过官方 Play 商店下载的合法 Android 应用不同，dropper 会忽悠用户下载另一款应用(检出为 TeaBot 恶意软件)。 最近样本中还看到了最新引入的反侦察手段 与 2021 上半年发现的样本相比，2022 年 2 月的新版 TeaBot 恶意软件，已经大举扩展了自己的伪装，涵盖了网银、保险、加密钱包 / 交易所等类型。 在不到一年的时间里，TeaBot 针对的应用程序数量从 60 暴涨到了 400 多个，增幅达到了惊人的 500% 。 显然，即便谷歌应用商店具有一定的反病毒检测能力，但还是拦不住 Android 用户被忽悠并侧载 TeaBot 之类的恶意软件。