安全企业Cleafy本周披露,于2021年5月现身的金融木马程序TeaBot已成功溜进Android的官方程式市场Google Play,这次它假冒为条码扫描仪QR Code & Barcode Scanner,并已被下载超过1万次。
TeaBot之前主要的感染途径为短信网络钓鱼,发送大量的垃圾短信以诱导用户下载假冒为VLC Media Player、DHL或UPS等品牌的程序,但这些程序都是进驻在第三方的Android市场,不过,今年2月才发现的新版TeaBot,伪装成条码扫描仪,成功溜进了Google Play,由于具备完整的扫描功能,因而评价良好,下载量已超过1万次。
Cleafy指出,Google Play上的QR Code & Barcode Scanner是个良性程序,但在安装之后,它立即会要求用户进行更新,而这便是黑客所伪造的更新程序,以传送TeaBot。该程序的更新并非直接来自Google Play,而是要求用户下载与安装另一个存放于GitHub上的QR Code Scanner: Add-On程序。
图片来源/Cleafy
一旦用户执行了该伪造的更新,TeaBot便会启动安装程序,要求用户赋给无障碍服务(Accessibility Services)的权限,以便让TeaBot得以查看与控制屏幕,以及查看与执行行动,前者可用来窃取用户于屏幕上输入的凭证,后者则是用来方便黑客执行恶意行为。
图片来源/Cleafy
新版的TeaBot除了传播方式进化之外,也扩大了攻击目标,从原先锁定的60个目标,增加到超过400个,除了银行程序之外,也囊括保险程序、加密货币钱包,以及加密货币交易中心等,此外,它还扩展所支持的语言,能以英文、中文、俄罗斯文或斯洛伐克语来执行安装说明。
Cleafy提醒,有鉴于TeaBot通过官方的Google Play传播、仅要求少数的授权,再加上它是利用之后的更新程序安装恶意程序,使得它不仅不会引起用户的怀疑,也经常能躲过杀毒软件。值得注意的是,该被Cleafy点名的条码扫描程序依然存在于Google Play上,不确定Google是否已收到Cleafy的通知。