Android木马Teabot假冒广告封锁程式感染并窃取银行资讯

安全公司Bitdefender近日发现一只银行木马Teabot，假冒广告封锁软件Ad Blocker吸引用户下载，以植入受害者电脑窃取银行帐密。

Teabot又名Anatsa，最早是由另一家安全公司Cleafy揭露，据信今年年初开始流传于欧洲。这只银行木马主要藏身在冒牌的知名厂商App，并引导Android用户从第三方网站，而非官方Google Play Store下载以提高安装率。今年稍早，Teabot利用多个Android App包括山寨版UPS以及VLC Media Player、Mobdro、卡巴斯基、Uplift健身App、电子书阅读器Bookmate等散布。

最近一波攻击中，Teabot则化身假广告封锁软件Ad Blocker散布。一旦用户安装开启，就会要求覆盖在其他App上（即覆盖攻击）、显示通知、以及从Google Play以外的网站下载的许可。在执行时，这只假广告封锁软件会显示广告，最后从外部网站下载Teabot以躲避Google过滤机制。

图片来源_Bitdefender

图片来源_Bitdefender

一旦植入受害者装置可进行Android辅助功能的覆盖攻击、拦截简讯、键盘侧录及窃取Google Authentication验证码，甚至可远端控制Android装置，目的在窃取网银帐密，或是拦截银行简讯向用户诈骗。

研究人员指出，和另一只银行木马Flubot/Cabassous相比，Teabot更为复杂，因为它具有存取纪录的能力，让攻击者能即时监控装置活动。

连同今年初以来，Teabot已在欧洲散布开来，涵括西班牙、意大利、荷兰及比利时等地60多家银行，包括德意志银行、BBVA、CaixaBanks的用户遭锁定。虽然目前感染地区主要为欧洲，但研究人员相信这份名单可能会持续增长。

研究人员警告，目前Teabot仍然持续散布中，呼吁用户不要从官网以外的来源下载App，也不要轻易点选讯息夹带的连结。