TeaBot Android银行恶意软件通过谷歌Play商店应用程序再次传播

一个旨在窃取凭证和短信的安卓银行特洛伊木马再次被发现，它通过谷歌Play Store的保护，以400多个银行和金融应用程序的用户为目标，其中包括来自俄罗斯、中国和美国的应用程序。

Cleafy研究人员在一份报告中说：“TeaBot RAT功能是通过设备屏幕的实时流媒体（按需请求）以及滥用可访问性服务进行远程交互和密钥记录来实现的。”。“这使威胁参与者（TA）能够直接从受损手机执行ATO（账户接管），也称为‘设备欺诈’。”

也被命名为ANATSA和蹒跚学步的孩子，Teabt首次出现在2021年5月，伪装成它的恶意功能，通过假装看似无害的PDF文档和QR代码扫描器应用程序，通过官方谷歌游戏商店而不是第三方应用商店或通过欺诈网站分发。

瑞士网络威胁情报公司PRODAFT在2021年7月发布的进一步研究发现，银行恶意软件已经“感染了超过7632个设备，并盗取了超过1023个银行凭证”，其中用户属于18个金融机构。

这些应用程序，也被称为dropper应用程序，作为一个管道，提供第二阶段的有效载荷，检索恶意软件菌株，以控制受感染的设备。2021年11月，荷兰安全公司TraveBuffic披露，去年六月以来，该公司在这家游戏店已经确认了六台AnATSA滴管。

今年1月早些时候，Bitdefender的研究人员发现，潜伏在官方Android应用程序市场中的TeaBot是一款“二维码阅读器-扫描仪应用程序”，在被取下之前的一个月内获得了超过10万次下载。

Cleafy于2022年2月21日发现的最新版本TeaBot dropper也是一款名为“QR code&Barcode-Scanner”的二维码阅读器应用程序，已从Play Store下载了约10000次。

一旦安装，操作方法是一样的：提示用户接受一个虚假的加载项更新，这反过来会导致安装另一个托管在GitHub上的应用程序，该应用程序实际上包含TeaBot恶意软件。然而，值得注意的是，用户需要允许从未知来源进行安装，才能成功实施此攻击链。

感染的最后一个阶段涉及银行特洛伊木马程序，该程序寻求可访问性服务权限，以捕获登录凭据和双因素身份验证码等敏感信息，目的是接管账户进行设备欺诈。

“在不到一年的时间里，TeaBot针对的应用程序数量增长了500%以上，从60个目标增加到400多个，”研究人员说，并补充说，恶意软件现在攻击了与个人银行、保险、加密钱包和加密交易相关的多个应用程序。