磨刀一年：TeaBot安卓恶意软件在全球范围内更猖狂了

嵌入 Google Play 的恶意应用示例（图自：Cleafy）

过去数月，我们发现攻击目标有大幅增加之势。在检出的 400+ 恶意应用中，涵盖了网银、加密货币（交易所 / 钱包）、数字保险等领域，且遍布美、俄等市场区域。

通过虚假更新方式诱骗安装的 TeaBot

早在 2021 年 5 月，Cleafy Labs 就报道了在意大利出现、主要针对欧洲银行的一款 Android 恶意软件。不过去年的 TeaBot，总给人以一种仍处于早期开发阶段的感觉。

用于存储 TeaBot 示例的 Github 存储库

早期 Teabot 主要通过预先定义的“诱饵列表”来散播，比如将自己伪装成 TeaTV、VLC 媒体播放器、或者 DHL / UPS 快递等正版应用。

TeaBot 感染链

直到 2022 年 2 月 21 日，Cleafy 威胁情报和事件响应团队（TIR）发现了一款混入 Google Play 官方应用商店的恶意软件，特点是将自己伪装成了 App 更新包。

安装阶段索取的应用权限

为了忽悠更多人下载安装，攻击者似乎还会忽悠人给自己刷好评。毕竟在明面上，它很可能只以“二维码扫描器”的面目示人。截止 Cleafy 发稿时，其下载量已超 10000+，且几乎看不到中差评。

TabBot 添加了对更多语言的支持

但在得逞之后，恶意软件的“下崽器”（dropper）才会露出自己的真实想法 —— 与通过官方 Play 商店下载的合法 Android 应用不同，dropper 会忽悠用户下载另一款应用（检出为 TeaBot 恶意软件）。

最近样本中还看到了最新引入的反侦察手段

与 2021 上半年发现的样本相比，2022 年 2 月的新版 TeaBot 恶意软件，已经大举扩展了自己的伪装，涵盖了网银、保险、加密钱包 / 交易所等类型。

在不到一年的时间里，TeaBot 针对的应用程序数量从 60 暴涨到了 400 多个，增幅达到了惊人的 500% 。

显然，即便谷歌应用商店具有一定的反病毒检测能力，但还是拦不住 Android 用户被忽悠并侧载 TeaBot 之类的恶意软件。