新型银行木马TeaBot针对六十余个银行进行窃密
2021-05-13 00:35:19 Author: www.freebuf.com(查看原文) 阅读量:151 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

研究人员发现了一个安卓木马TeaBot,该木马窃取受害者的短信和密码意图完全接管设备,针对欧洲至少60家银行的应用程序进行攻击

根据在线欺诈管理公司Cleafy发布的报告,TeaBot一旦安装在受害者的设备上,攻击者就可以通过木马获取屏幕显示的实时视频流,并且通过Accessibility Services与屏幕进行交互点击,也可以通过Anatsa来跟踪屏幕点击。

Cleafy的威胁情报和事件响应(TIR)小组的研究人员于3月29日首次检测到TeaBot,该软件起初针对意大利的银行发起攻击,但随后该恶意软件也以比利时和荷兰的银行为目标进行传播。

研究人员称,TeaBot最早在1月份就针对西班牙的银行发起了攻击,3月份又针对德国的银行发起攻击,研究人员共发现了针对60多家银行的攻击

不断更新

TeaBot支持六种不同的语言:西班牙文、英文、意大利文、德文、法文和荷兰文。从部分网络加密行为和一些无效的命令来看,TeaBot仍然在开发当中。

与其他使用Accessibility Services窃密的安卓木马一样,TeaBot对多个银行的应用程序进行覆盖攻击,窃取银行登录凭证和信用卡信息。这与Anubis和Cerberus/Alien之类的现代银行木马类似。

TeaBot还支持发送、拦截或者隐藏短信,记录键盘击键,窃取Google身份严重代码,使用辅助服务和实时屏幕共享完全控制设备。

TeaBot还滥用Android Accessibility Services,从而绕过了需要进行“新设备注册”来进行帐户接管的要求。

安全公司Approov的首席执行官David Stewart指出,银行木马一旦感染,很快就会拦截短信、窃取用户凭据,从银行应用程序中窃取信息和金钱。

显著特点

TeaBot的主要功能仍然是木马,程序的主要活动就是键盘记录,TeaBot能够观察并跟踪用户在目标应用程序上执行的所有信息。

这种行为类似另一个安卓银行木马EventBot,但区别在于EventBot跟踪所有应用程序,而TeaBot只跟踪特定的银行应用程序。这样会大大减少流量的消耗,降低被发现的概率。

研究人员指出,TeaBot还具有一些和其他银行木马不同的功能,比如通过连续屏幕截图监控设备屏幕。

研究人员提醒:虽然TeaBot目前只集中在某些欧洲国家,但是也要警惕它传播到世界各地

参考来源

Cleafy

ThreatPOST


文章来源: https://www.freebuf.com/articles/mobile/272737.html
如有侵权请联系:admin#unsafe.sh