TeaBot金融木馬溜進(jìn)Google Play，這次它假冒為條碼掃描儀

安全企業(yè)Cleafy本周披露，于2021年5月現(xiàn)身的金融木馬程序TeaBot已成功溜進(jìn)Android的官方程式市場(chǎng)Google Play，這次它假冒為條碼掃描儀QR Code&Barcode Scanner，并已被下載超過(guò)1萬(wàn)次。

TeaBot之前主要的感染途徑為短信網(wǎng)絡(luò)釣魚(yú)，發(fā)送大量的垃圾短信以誘導(dǎo)用戶下載假冒為VLC Media Player、DHL或UPS等品牌的程序，但這些程序都是進(jìn)駐在第三方的Android市場(chǎng)，不過(guò)，今年2月才發(fā)現(xiàn)的新版TeaBot，偽裝成條碼掃描儀，成功溜進(jìn)了Google Play，由于具備完整的掃描功能，因而評(píng)價(jià)良好，下載量已超過(guò)1萬(wàn)次。

Cleafy指出，Google Play上的QR Code&Barcode Scanner是個(gè)良性程序，但在安裝之后，它立即會(huì)要求用戶進(jìn)行更新，而這便是黑客所偽造的更新程序，以傳送TeaBot。該程序的更新并非直接來(lái)自Google Play，而是要求用戶下載與安裝另一個(gè)存放于GitHub上的QR Code Scanner:Add-On程序。

圖片來(lái)源／Cleafy

一旦用戶執(zhí)行了該偽造的更新，TeaBot便會(huì)啟動(dòng)安裝程序，要求用戶賦給無(wú)障礙服務(wù)（Accessibility Services）的權(quán)限，以便讓TeaBot得以查看與控制屏幕，以及查看與執(zhí)行行動(dòng)，前者可用來(lái)竊取用戶于屏幕上輸入的憑證，后者則是用來(lái)方便黑客執(zhí)行惡意行為。

圖片來(lái)源／Cleafy

新版的TeaBot除了傳播方式進(jìn)化之外，也擴(kuò)大了攻擊目標(biāo)，從原先鎖定的60個(gè)目標(biāo)，增加到超過(guò)400個(gè)，除了銀行程序之外，也囊括保險(xiǎn)程序、加密貨幣錢包，以及加密貨幣交易中心等，此外，它還擴(kuò)展所支持的語(yǔ)言，能以英文、中文、俄羅斯文或斯洛伐克語(yǔ)來(lái)執(zhí)行安裝說(shuō)明。

Cleafy提醒，有鑒于TeaBot通過(guò)官方的Google Play傳播、僅要求少數(shù)的授權(quán)，再加上它是利用之后的更新程序安裝惡意程序，使得它不僅不會(huì)引起用戶的懷疑，也經(jīng)常能躲過(guò)殺毒軟件。值得注意的是，該被Cleafy點(diǎn)名的條碼掃描程序依然存在于Google Play上，不確定Google是否已收到Cleafy的通知。