TeaBot:一种针对银行的新型Android恶意软件

  • A+
所属分类:安全新闻
TeaBot:一种针对银行的新型Android恶意软件点击上方蓝字关注我们


概述


2021年1月,Cleafy安全研究人员发现了一种新型Android恶意软件,并将其命名为“Teabot”。该恶意软件旨在窃取用户的凭证和短信,以对西班牙、德国、意大利、比利时和荷兰等60多个银行进行欺诈活动。研究人员表示Teabot目前还处于早期开发阶段,其主要功能包括:

  • 对多个银行应用程序执行覆盖攻击,以窃取登录凭证和信用卡信息

  • 发送/拦截/隐藏短信

  • 键盘记录功能

  • 窃取Google身份验证码

  • 助功能和实时屏幕共享,获得Android设备的完全控制权


TeaBot技术分析


Teabot一开始使用的应用程序名称为“TeaTV”,之后陆续更改为“VLC MediaPlayer”、“Mobdro”、“DHL”、“UPS”和“bpost”,这些诱饵名称也曾被著名的银行木马Flubot所使用。

TeaBot:一种针对银行的新型Android恶意软件
图1. TeaBot使用的几个图标

TeaBo申请获取的权限:

TeaBot:一种针对银行的新型Android恶意软件

图2. AndroidManifest.xml中声明的权限列表

与其它银行木马一样,TeaBot使用了多种技术来规避检测和分析,包括充当释放器,并动态加载真正的恶意有效载荷、填充垃圾代码、使用XOR算法对部分网络通信进行加密。

从部分网络加密行为和一些无效的命令来看,TeaBot仍然在开发当中。2021年1月,TeaBot仅针对西班牙银行。2021年3月,出现针对德国和意大利银行的TeaBot样本。截至当前,TeaBot共支持6种不同的语言:西班牙语、英语、意大利语、德语、法语和荷兰语。

TeaBot:一种针对银行的新型Android恶意软件

图3. TeaBot支持的语言


TeaBot的主要功能:


键盘记录:通过滥用Android Accessibility服务,TeaBot能够观察和跟踪用户在目标应用程序上执行的所有信息。TeaBot在首次与C2进行通信时,会发送受感染设备的已安装应用程序列表,以查找是否存在目标程序。如果存在,TeaBot会下载特定的有效载荷以执行覆盖攻击,并开始跟踪用户在目标应用程序上执行的所有活动,收集到的数据每隔10秒就会发送到攻击者控制的C2服务器。


TeaBot:一种针对银行的新型Android恶意软件

图4.TeaBot配置文件示例


TeaBot:一种针对银行的新型Android恶意软件

图5. TeaBot窃取的银行凭证示例


屏幕截图:TeaBot的一项特殊功能是通过屏幕截图,实时监视受感染设备的屏幕。当接收到C2发送的“start_client”命令时,TeaBot开始请求图像,并启动一个循环,以实时获取屏幕截图


TeaBot:一种针对银行的新型Android恶意软件

图6. 实时截屏的代码示例


覆盖攻击:TeaBot对多个银行的应用程序进行覆盖攻击,以窃取银行登录凭证和信用卡信息。


TeaBot:一种针对银行的新型Android恶意软件

图7. 覆盖攻击代码示例


动态分析


TeaBot在成功下载到设备上后,会尝试作为“Android服务”安装以隐藏自身,从而阻止用户检测并实现持久化。此外,在安装阶段,TeaBot会在后台与C2服务器进行通信。‍


TeaBot:一种针对银行的新型Android恶意软件

图8. TeaBot安装阶段的屏幕截图


成功安装后,TeaBot将请求以下Android权限,以进一步执行恶意活动:


  • 观察行动 

用于拦截和观察用户操作 

  • 检索窗口内容 

用于检索身份验证应用程序中的登录凭证、短信、双因素身份验证码等敏感信息

  • 执行任意手势 

用于接受多种的权限,如REQUEST_IGNORE_BATTERY_OPTIMIZATIONS权限


获取请求的权限后,恶意应用程序将图标从受感染设备中删除。


TeaBot:一种针对银行的新型Android恶意软件

图9. 加密通信示例


第一次与C2进行通信时,TeaBot会发送受感染设备的已安装应用程序列表,以验证是否存在目标应用程序。当找到一个或多个目标应用程序时,C2会下发特定的有效载荷。


TeaBot:一种针对银行的新型Android恶意软件


图10. 加密和解密的通信示例


IOC


应用程序名称:

VLC MediaPlayer

TeaTV


哈希值:

89e5746d0903777ef68582733c777b9ee53c42dc4d64187398e1131cccfc0599

7f5b870ed1f286d8a08a1860d38ef4966d4e9754b2d42bf41d7 511e1856cc990


C2:

185.215.113[.]31

kopozkapalo[.]xyz 

sepoloskotop[.]xyz

178.32.130[.]170


TeaBot:一种针对银行的新型Android恶意软件

END



TeaBot:一种针对银行的新型Android恶意软件


好文!必须在看

本文始发于微信公众号(SecTr安全团队):TeaBot:一种针对银行的新型Android恶意软件

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: