官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
研究人员发现了一个安卓木马TeaBot,该木马窃取受害者的短信和密码意图完全接管设备,针对欧洲至少60家银行的应用程序进行攻击。
根据在线欺诈管理公司Cleafy发布的报告,TeaBot一旦安装在受害者的设备上,攻击者就可以通过木马获取屏幕显示的实时视频流,并且通过Accessibility Services与屏幕进行交互点击,也可以通过Anatsa来跟踪屏幕点击。
Cleafy的威胁情报和事件响应(TIR)小组的研究人员于3月29日首次检测到TeaBot,该软件起初针对意大利的银行发起攻击,但随后该恶意软件也以比利时和荷兰的银行为目标进行传播。
研究人员称,TeaBot最早在1月份就针对西班牙的银行发起了攻击,3月份又针对德国的银行发起攻击,研究人员共发现了针对60多家银行的攻击。
不断更新
TeaBot支持六种不同的语言:西班牙文、英文、意大利文、德文、法文和荷兰文。从部分网络加密行为和一些无效的命令来看,TeaBot仍然在开发当中。
与其他使用Accessibility Services窃密的安卓木马一样,TeaBot对多个银行的应用程序进行覆盖攻击,窃取银行登录凭证和信用卡信息。这与Anubis和Cerberus/Alien之类的现代银行木马类似。
TeaBot还支持发送、拦截或者隐藏短信,记录键盘击键,窃取Google身份严重代码,使用辅助服务和实时屏幕共享完全控制设备。
TeaBot还滥用Android Accessibility Services,从而绕过了需要进行“新设备注册”来进行帐户接管的要求。
安全公司Approov的首席执行官David Stewart指出,银行木马一旦感染,很快就会拦截短信、窃取用户凭据,从银行应用程序中窃取信息和金钱。
显著特点
TeaBot的主要功能仍然是木马,程序的主要活动就是键盘记录,TeaBot能够观察并跟踪用户在目标应用程序上执行的所有信息。
这种行为类似另一个安卓银行木马EventBot,但区别在于EventBot跟踪所有应用程序,而TeaBot只跟踪特定的银行应用程序。这样会大大减少流量的消耗,降低被发现的概率。
研究人员指出,TeaBot还具有一些和其他银行木马不同的功能,比如通过连续屏幕截图监控设备屏幕。
研究人员提醒:虽然TeaBot目前只集中在某些欧洲国家,但是也要警惕它传播到世界各地。