TeaBot金融木馬溜進Google Play，這次它假冒為條碼掃描儀

安全企業(yè)Cleafy本周披露，于2021年5月現(xiàn)身的金融木馬程序TeaBot已成功溜進Android的官方程式市場Google Play，這次它假冒為條碼掃描儀QR Code&Barcode Scanner，并已被下載超過1萬次。

TeaBot之前主要的感染途徑為短信網(wǎng)絡(luò)釣魚，發(fā)送大量的垃圾短信以誘導(dǎo)用戶下載假冒為VLC Media Player、DHL或UPS等品牌的程序，但這些程序都是進駐在第三方的Android市場，不過，今年2月才發(fā)現(xiàn)的新版TeaBot，偽裝成條碼掃描儀，成功溜進了Google Play，由于具備完整的掃描功能，因而評價良好，下載量已超過1萬次。

Cleafy指出，Google Play上的QR Code&Barcode Scanner是個良性程序，但在安裝之后，它立即會要求用戶進行更新，而這便是黑客所偽造的更新程序，以傳送TeaBot。該程序的更新并非直接來自Google Play，而是要求用戶下載與安裝另一個存放于GitHub上的QR Code Scanner:Add-On程序。

圖片來源／Cleafy

一旦用戶執(zhí)行了該偽造的更新，TeaBot便會啟動安裝程序，要求用戶賦給無障礙服務(wù)（Accessibility Services）的權(quán)限，以便讓TeaBot得以查看與控制屏幕，以及查看與執(zhí)行行動，前者可用來竊取用戶于屏幕上輸入的憑證，后者則是用來方便黑客執(zhí)行惡意行為。

圖片來源／Cleafy

新版的TeaBot除了傳播方式進化之外，也擴大了攻擊目標，從原先鎖定的60個目標，增加到超過400個，除了銀行程序之外，也囊括保險程序、加密貨幣錢包，以及加密貨幣交易中心等，此外，它還擴展所支持的語言，能以英文、中文、俄羅斯文或斯洛伐克語來執(zhí)行安裝說明。

Cleafy提醒，有鑒于TeaBot通過官方的Google Play傳播、僅要求少數(shù)的授權(quán)，再加上它是利用之后的更新程序安裝惡意程序，使得它不僅不會引起用戶的懷疑，也經(jīng)常能躲過殺毒軟件。值得注意的是，該被Cleafy點名的條碼掃描程序依然存在于Google Play上，不確定Google是否已收到Cleafy的通知。