研究人员发现了一个安卓木马TeaBot，该木马窃取受害者的短信和密码意图完全接管设备，针对欧洲至少60家银行的应用程序进行攻击。

根据在线欺诈管理公司Cleafy发布的报告，TeaBot一旦安装在受害者的设备上，攻击者就可以通过木马获取屏幕显示的实时视频流，并且通过Accessibility Services与屏幕进行交互点击，也可以通过Anatsa来跟踪屏幕点击。

Cleafy的威胁情报和事件响应（TIR）小组的研究人员于3月29日首次检测到TeaBot，该软件起初针对意大利的银行发起攻击，但随后该恶意软件也以比利时和荷兰的银行为目标进行传播。

研究人员称，TeaBot最早在1月份就针对西班牙的银行发起了攻击，3月份又针对德国的银行发起攻击，研究人员共发现了针对60多家银行的攻击。

不断更新

TeaBot支持六种不同的语言：西班牙文、英文、意大利文、德文、法文和荷兰文。从部分网络加密行为和一些无效的命令来看，TeaBot仍然在开发当中。

与其他使用Accessibility Services窃密的安卓木马一样，TeaBot对多个银行的应用程序进行覆盖攻击，窃取银行登录凭证和信用卡信息。这与Anubis和Cerberus/Alien之类的现代银行木马类似。

TeaBot还支持发送、拦截或者隐藏短信，记录键盘击键，窃取Google身份严重代码，使用辅助服务和实时屏幕共享完全控制设备。

TeaBot还滥用Android Accessibility Services，从而绕过了需要进行“新设备注册”来进行帐户接管的要求。

安全公司Approov的首席执行官David Stewart指出，银行木马一旦感染，很快就会拦截短信、窃取用户凭据，从银行应用程序中窃取信息和金钱。

显著特点

TeaBot的主要功能仍然是木马，程序的主要活动就是键盘记录，TeaBot能够观察并跟踪用户在目标应用程序上执行的所有信息。

这种行为类似另一个安卓银行木马EventBot，但区别在于EventBot跟踪所有应用程序，而TeaBot只跟踪特定的银行应用程序。这样会大大减少流量的消耗，降低被发现的概率。

研究人员指出，TeaBot还具有一些和其他银行木马不同的功能，比如通过连续屏幕截图监控设备屏幕。

研究人员提醒：虽然TeaBot目前只集中在某些欧洲国家，但是也要警惕它传播到世界各地。

参考来源

Cleafy

ThreatPOST