TeaBot：一种针对银行的新型Android恶意软件

点击上方蓝字关注我们

概述

2021年1月，Cleafy安全研究人员发现了一种新型Android恶意软件，并将其命名为“Teabot”。该恶意软件旨在窃取用户的凭证和短信，以对西班牙、德国、意大利、比利时和荷兰等60多个银行进行欺诈活动。研究人员表示Teabot目前还处于早期开发阶段，其主要功能包括：

• 对多个银行应用程序执行覆盖攻击，以窃取登录凭证和信用卡信息
  

• 发送/拦截/隐藏短信

• 键盘记录功能
  

• 窃取Google身份验证码

• 通过辅助功能和实时屏幕共享，获得Android设备的完全控制权

TeaBot技术分析

Teabot一开始使用的应用程序名称为“TeaTV”，之后陆续更改为“VLC MediaPlayer”、“Mobdro”、“DHL”、“UPS”和“bpost”，这些诱饵名称也曾被著名的银行木马Flubot所使用。

图1. TeaBot使用的几个图标

TeaBo申请获取的权限：

图2. AndroidManifest.xml中声明的权限列表

与其它银行木马一样，TeaBot使用了多种技术来规避检测和分析，包括充当释放器，并动态加载真正的恶意有效载荷、填充垃圾代码、使用XOR算法对部分网络通信进行加密。

从部分网络加密行为和一些无效的命令来看，TeaBot仍然在开发当中。2021年1月，TeaBot仅针对西班牙银行。2021年3月，出现针对德国和意大利银行的TeaBot样本。截至当前，TeaBot共支持6种不同的语言：西班牙语、英语、意大利语、德语、法语和荷兰语。

图3. TeaBot支持的语言

TeaBot的主要功能：

键盘记录：通过滥用Android Accessibility服务，TeaBot能够观察和跟踪用户在目标应用程序上执行的所有信息。TeaBot在首次与C2进行通信时，会发送受感染设备的已安装应用程序列表，以查找是否存在目标程序。如果存在，TeaBot会下载特定的有效载荷以执行覆盖攻击，并开始跟踪用户在目标应用程序上执行的所有活动，收集到的数据每隔10秒就会发送到攻击者控制的C2服务器。

图4.TeaBot配置文件示例

图5. TeaBot窃取的银行凭证示例

屏幕截图：TeaBot的一项特殊功能是通过屏幕截图，实时监视受感染设备的屏幕。当接收到C2发送的“start_client”命令时，TeaBot开始请求图像，并启动一个循环，以实时获取屏幕截图。

图6. 实时截屏的代码示例

覆盖攻击：TeaBot对多个银行的应用程序进行覆盖攻击，以窃取银行登录凭证和信用卡信息。

图7. 覆盖攻击代码示例

动态分析

TeaBot在成功下载到设备上后，会尝试作为“Android服务”安装以隐藏自身，从而阻止用户检测并实现持久化。此外，在安装阶段，TeaBot会在后台与C2服务器进行通信。‍

图8. TeaBot安装阶段的屏幕截图

成功安装后，TeaBot将请求以下Android权限，以进一步执行恶意活动：

• 观察行动 

用于拦截和观察用户操作 

• 检索窗口内容 

用于检索身份验证应用程序中的登录凭证、短信、双因素身份验证码等敏感信息

• 执行任意手势 

用于接受多种的权限，如REQUEST_IGNORE_BATTERY_OPTIMIZATIONS权限。

获取请求的权限后，恶意应用程序将图标从受感染设备中删除。

图9. 加密通信示例

第一次与C2进行通信时，TeaBot会发送受感染设备的已安装应用程序列表，以验证是否存在目标应用程序。当找到一个或多个目标应用程序时，C2会下发特定的有效载荷。

图10. 加密和解密的通信示例

IOC

应用程序名称：

VLC MediaPlayer

TeaTV

哈希值：

89e5746d0903777ef68582733c777b9ee53c42dc4d64187398e1131cccfc0599

7f5b870ed1f286d8a08a1860d38ef4966d4e9754b2d42bf41d7 511e1856cc990

C2：

185.215.113[.]31

kopozkapalo[.]xyz 

sepoloskotop[.]xyz

178.32.130[.]170

END

好文！必须在看

本文始发于微信公众号（SecTr安全团队）：TeaBot：一种针对银行的新型Android恶意软件