網銀木馬是中國國內針對網上交易系統編寫的木馬病毒,其目的是盜取用戶的卡號、密碼,甚至安全證書。此類木馬種類數量雖然比不上網遊木馬,但它的危害更加直接,受害用戶的損失更加慘重。網銀木馬通常針對性較強就比如 TeaBot 是一款從2021 年初開始冒頭的 Android 網銀木馬,旨在竊取受害者的憑證和短信。
為實現這一目的,這款遠程訪問木馬(RAT)利用了行動裝置的實時流式傳輸(按需請求)和輔助功能,使得攻擊者能夠接管受害者的賬戶。起初 TeaBot 是通過山寨惡意軟件和詐騙短信來分發的,而由於現在大多數人都依靠行動裝置進行各種付款,通信和雙重身份驗證,就自然成為了他們的首選目標,然而近期的案例,揭示其已升級了側載技術、甚至潛入了Google Play Store。
起初人們並沒有注意這款木馬,導致經過發展數月後,人們終於開始發現攻擊目標有大幅增加之勢。並且在檢出的400+ 惡意 App 中,已經涵蓋了網銀、加密貨幣(交易所/ 錢包)、數字保險等領域,到目前為止,其攻擊已針對歐洲用戶。西班牙語,德語,意大利語,比利時和荷蘭等市場區域。值得注意的是,曾早在2021年5月,Cleafy Labs 就報導了在意大利出現、主要針對歐洲銀行的一款 Android 惡意軟件。不過和剛開始的 TeaBot 一樣,總給人以一種仍處於早期開發階段的感覺,並沒有得到重視,最終引發氾濫。
據了解,我們得知最早期 Teabot 主要通過預先定義的「誘餌列表」來散播,例如將自己偽裝成 TeaTV、VLC 媒體播放器、或者 DHL / UPS 快遞等 App。最終在 2022年2月21日,被 Cleafy 威脅情報和事件響應團隊(TIR)發現了,他們識別發現一款混入 Google Play Store 的惡意軟件,特點是將自己偽裝成了 App 更新包。
此外,該病毒的作者為了欺騙更多人下載安裝,似乎還會欺騙人給自己刷好評。畢竟在明面上,它很可能只以「QRcode 掃描器」的面目示人。截止 Cleafy 發稿時,其下載量已超10000+,且幾乎看不到中差評。
