点击上方蓝字关注我们概述
-
对多个银行应用程序执行覆盖攻击,以窃取登录凭证和信用卡信息
-
发送/拦截/隐藏短信
-
键盘记录功能
-
窃取Google身份验证码
-
通过辅助功能和实时屏幕共享,获得Android设备的完全控制权
TeaBot技术分析
图3. TeaBot支持的语言
TeaBot的主要功能:
键盘记录:通过滥用Android Accessibility服务,TeaBot能够观察和跟踪用户在目标应用程序上执行的所有信息。TeaBot在首次与C2进行通信时,会发送受感染设备的已安装应用程序列表,以查找是否存在目标程序。如果存在,TeaBot会下载特定的有效载荷以执行覆盖攻击,并开始跟踪用户在目标应用程序上执行的所有活动,收集到的数据每隔10秒就会发送到攻击者控制的C2服务器。
图4.TeaBot配置文件示例
图5. TeaBot窃取的银行凭证示例
屏幕截图:TeaBot的一项特殊功能是通过屏幕截图,实时监视受感染设备的屏幕。当接收到C2发送的“start_client”命令时,TeaBot开始请求图像,并启动一个循环,以实时获取屏幕截图。
图6. 实时截屏的代码示例
覆盖攻击:TeaBot对多个银行的应用程序进行覆盖攻击,以窃取银行登录凭证和信用卡信息。
图7. 覆盖攻击代码示例
动态分析
TeaBot在成功下载到设备上后,会尝试作为“Android服务”安装以隐藏自身,从而阻止用户检测并实现持久化。此外,在安装阶段,TeaBot会在后台与C2服务器进行通信。
图8. TeaBot安装阶段的屏幕截图
成功安装后,TeaBot将请求以下Android权限,以进一步执行恶意活动:
-
观察行动
用于拦截和观察用户操作
-
检索窗口内容
用于检索身份验证应用程序中的登录凭证、短信、双因素身份验证码等敏感信息
-
执行任意手势
用于接受多种的权限,如REQUEST_IGNORE_BATTERY_OPTIMIZATIONS权限。
获取请求的权限后,恶意应用程序将图标从受感染设备中删除。
图9. 加密通信示例
第一次与C2进行通信时,TeaBot会发送受感染设备的已安装应用程序列表,以验证是否存在目标应用程序。当找到一个或多个目标应用程序时,C2会下发特定的有效载荷。
图10. 加密和解密的通信示例
IOC
应用程序名称:
VLC MediaPlayer
TeaTV
哈希值:
89e5746d0903777ef68582733c777b9ee53c42dc4d64187398e1131cccfc0599
7f5b870ed1f286d8a08a1860d38ef4966d4e9754b2d42bf41d7 511e1856cc990
C2:
185.215.113[.]31
kopozkapalo[.]xyz
sepoloskotop[.]xyz
178.32.130[.]170
END
本文始发于微信公众号(SecTr安全团队):TeaBot:一种针对银行的新型Android恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论