之前Teabot這隻銀行木馬已假冒多個山寨版Android App來散布,最近一波攻擊中,Teabot則化身假廣告封鎖軟體Ad Blocker,一旦用戶安裝開啟,就會要求從Google Play以外網站下載的許可。(圖片來源/Bitdefender)

安全公司Bitdefender近日發現一隻銀行木馬Teabot,假冒廣告封鎖軟體Ad Blocker吸引用戶下載,以植入受害者電腦竊取銀行帳密。

Teabot又名Anatsa,最早是由另一家安全公司Cleafy揭露,據信今年年初開始流傳於歐洲。這隻銀行木馬主要藏身在冒牌的知名廠商App,並引導Android用戶從第三方網站,而非官方Google Play Store下載以提高安裝率。今年稍早,Teabot利用多個Android App包括山寨版UPS以及VLC Media Player、Mobdro、卡巴斯基、Uplift健身App、電子書閱讀器Bookmate等散布。

最近一波攻擊中,Teabot則化身假廣告封鎖軟體Ad Blocker散布。一旦用戶安裝開啟,就會要求覆蓋在其他App上(即覆蓋攻擊)、顯示通知、以及從Google Play以外的網站下載的許可。在執行時,這隻假廣告封鎖軟體會顯示廣告,最後從外部網站下載Teabot以躲避Google過濾機制。

圖片來源_Bitdefender

圖片來源_Bitdefender

一旦植入受害者裝置可進行Android輔助功能的覆蓋攻擊、攔截簡訊、鍵盤側錄及竊取Google Authentication驗證碼,甚至可遠端控制Android裝置,目的在竊取網銀帳密,或是攔截銀行簡訊向用戶詐騙。

研究人員指出,和另一隻銀行木馬Flubot/Cabassous相比,Teabot更為複雜,因為它具有存取紀錄的能力,讓攻擊者能即時監控裝置活動。

連同今年初以來,Teabot已在歐洲散布開來,涵括西班牙、義大利、荷蘭及比利時等地60多家銀行,包括德意志銀行、BBVA、CaixaBanks的用戶遭鎖定。雖然目前感染地區主要為歐洲,但研究人員相信這份名單可能會持續增長。

研究人員警告,目前Teabot仍然持續散布中,呼籲用戶不要從官網以外的來源下載App,也不要輕易點選訊息夾帶的連結。

熱門新聞

Advertisement