专家警告称，一个新的安卓银行特洛伊木马正在窃取用户的凭据

网络安全研究人员周一披露了一种新的安卓特洛伊木马，该木马会劫持用户的凭据和短信，以促进针对西班牙、德国、意大利、比利时和荷兰银行的欺诈活动。

被称为“TaBOT”（或ANATSA）的恶意软件据说处于其早期发展阶段，针对2021年3月底开始的金融应用的恶意攻击，随后在5月的第一周对比利时和荷兰银行造成了严重的感染。TeaBot活动的最初迹象出现在1月份。

“TeaBot的主要目标是窃取受害者的凭据和短信，以便针对预定义的银行名单启用欺诈场景，”意大利网络安全和在线欺诈预防公司Cleafy在周一的一篇文章中说。“一旦TeaBot成功安装在受害者的设备中，攻击者就可以获得设备屏幕的实时流媒体（按需），并通过可访问性服务与之交互。”

这个冒充TeaTV、VLC media Player、DHL和UPS等媒体和软件包交付服务的流氓Android应用程序充当一个滴管，不仅加载第二阶段的有效负载，还迫使受害者授予其可访问性服务权限。

在攻击链的最后一个环节，TeaBot利用该访问实现与受损设备的实时交互，使对手能够记录击键，此外还可以截屏并在银行应用程序的登录屏幕上注入恶意覆盖，以窃取凭据和信用卡信息。

TeaBot的其他功能包括禁用Google Play Protect、拦截短信以及访问Google Authenticator 2FA代码。然后，收集到的信息每10秒就会被过滤到攻击者控制的远程服务器。

近几个月来，滥用可访问性服务作为实施数据盗窃的垫脚石的安卓恶意软件激增。自今年年初以来，至少有三个不同的恶意软件家族—；Oscorp、BRATA和FluBot—；他们依靠该功能获得对受感染设备的全面控制。

有趣的是，TeaBot假扮成无害的装运应用程序，使用与Flubot相同的诱饵，这可能是一种误导归属和保持低调的尝试。FLBOBOT感染的加剧促使德国和英国上个月发出警告，通过欺诈性SMS消息警告正在进行的攻击，这些信息欺骗用户安装“窃取密码和其他敏感数据的间谍软件”。