新版金融木馬TeaBot偽裝成條碼掃描器成功溜進Google Play,由於具備完整的掃描功能,因而評價良好,下載量已超過1萬次。但Cleafy指出,安卓用戶在安裝QR Code & Barcode Scanner之後,它立即會要求使用者進行更新,而這便是駭客所偽造的更新程序,以遞送TeaBot。(圖片來源/Cleafy)

資安業者Cleafy本周揭露,於2021年5月現身的金融木馬程式TeaBot已成功溜進Android的官方程式市集Google Play,這次它假冒為條碼掃描器QR Code & Barcode Scanner,並已被下載逾1萬次。

TeaBot之前主要的感染途徑為簡訊網路釣魚,發送大量的垃圾簡訊以誘導使用者下載假冒為VLC Media Player、DHL或UPS等品牌的程式,但這些程式都是進駐在第三方的Android市集,不過,今年2月才發現的新版TeaBot,偽裝成條碼掃描器,成功溜進了Google Play,由於具備完整的掃描功能,因而評價良好,下載量已超過1萬次。

Cleafy指出,Google Play上的QR Code & Barcode Scanner是個良性程式,但在安裝之後,它立即會要求使用者進行更新,而這便是駭客所偽造的更新程序,以遞送TeaBot。該程式的更新並非直接來自Google Play,而是要求使用者下載與安裝另一個存放於GitHub上的QR Code Scanner: Add-On程式。

圖片來源/Cleafy

一旦使用者執行了此一偽造的更新,TeaBot便會啟動安裝程序,要求使用者賦予無障礙服務(Accessibility Services)的權限,以便讓TeaBot得以檢視與控制螢幕,以及檢視與執行行動,前者可用來竊取使用者於螢幕上輸入的憑證,後者則是用來方便駭客執行惡意行為。

圖片來源/Cleafy

新版的TeaBot除了散布方式進化之外,也擴大了攻擊目標,從原先鎖定的60個目標,增加到超過400個,除了銀行程式之外,亦囊括保險程式、加密貨幣錢包,以及加密貨幣交易中心等,此外,它還擴充所支援的語言,能以英文、中文、俄羅斯文或斯洛伐克語來執行安裝說明。

Cleafy提醒,有鑑於TeaBot透過官方的Google Play散布、僅要求少數的授權,再加上它是利用之後的更新程序安裝惡意程式,使得它不僅不會引起使用者的懷疑,也經常能躲過防毒軟體。值得注意的是,此一被Cleafy點名的條碼掃描程式依然存在於Google Play上,不確定Google是否已收到Cleafy的通知。


熱門新聞

Advertisement