网银木马是中国国内针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。网银木马通常针对性较强就比如 TeaBot 是一款从2021 年初开始冒头的 Android 网银木马,旨在窃取受害者的凭证和短信。
为实现这一目的,这款远程访问木马(RAT)利用了行动装置的实时流式传输(按需请求)和辅助功能,使得攻击者能够接管受害者的账户。起初 TeaBot 是通过山寨恶意软件和诈骗短信来分发的,而由于现在大多数人都依靠行动装置进行各种付款,通信和双重身份验证,就自然成为了他们的首选目标,然而近期的案例,揭示其已升级了侧载技术、甚至潜入了Google Play Store。
起初人们并没有注意TeaBot这款木马,导致经过发展数月后,人们终于开始发现TeaBot攻击目标有大幅增加之势。并且在检出的400+ 恶意 App 中,已经涵盖了网银、加密货币(交易所/ 钱包)、数字保险等领域,到目前为止,其攻击已针对欧洲用户。西班牙语,德语,意大利语,比利时和荷兰等市场区域。值得注意的是,曾早在2021年5月,Cleafy Labs 就报导了在意大利出现、主要针对欧洲银行的一款 Android 恶意软件。不过和刚开始的 TeaBot 一样,总给人以一种仍处于早期开发阶段的感觉,并没有得到重视,最终引发泛滥。
据了解,我们得知最早期 Teabot 主要通过预先定义的「诱饵列表」来散播,例如将自己伪装成 TeaTV、VLC 媒体播放器、或者 DHL / UPS 快递等 App。最终在 2022年2月21日,被 Cleafy 威胁情报和事件响应团队(TIR)发现了,他们识别发现一款混入 Google Play Store 的恶意软件,特点是将自己伪装成了 App 更新包。
此外,TeaBot病毒的作者为了欺骗更多人下载安装,似乎还会欺骗人给自己刷好评。毕竟在明面上,TeaBot很可能只以「QRcode 扫描器」的面目示人。截止奇点发稿时,「QRcode 扫描器」下载量已超10000+,且几乎看不到中差评。
