移動應用程序的數量正在迅速增加，但安全風險也在增加。TeaBot Remote Access (TRAT) 木馬程序在2021年初出現，旨在竊取受害者的憑據和短消息，該木馬目前仍然很猖獗。行為生物識別技術是克服移動惡意軟件發展挑戰的關鍵。

在過去十年中，移動設備的使用量呈指數級增長。現在全球約有53億個獨立手機用戶，其中90%以上訪問互聯網。每臺移動設備平均安裝了大約40個應用程序，預計到今年年底，應用程序的總下載量將超過2500億個。

隨著移動設備和應用程序數量的快速增長，網絡攻擊數量也在大幅增加，犯罪分子越來越關注對銀行應用程序的滲透。移動滲透的手段如今越來越多樣化、越來越復雜，并且具備升級的能力——TeaBot RAT木馬程序也不例外，如今已經滲透到全球各地的銀行、加密貨幣交易所和數字保險提供商，并且造成了損害。然而，行為生物識別技術提供了將風險降至最低的關鍵措施。

移動設備社交工程攻擊

在大多數情況下，網絡攻擊始于復雜的社交工程攻擊，以使用戶將惡意軟件下載到其終端設備上。這些木馬通常以網絡釣魚電子郵件、短信或虛假應用程序的形式出現。

木馬然后會自行安裝，使黑客能夠收集信息并加載更多惡意軟件。例如，TeaBot RAT木馬使網絡犯罪分子能夠獲得設備的管理訪問權限，并攔截銀行應用程序憑據甚至一次性密碼。

根據調查，每24起欺詐案件中就有1起涉及TeaBot RAT攻擊。HTML覆蓋攻擊也用于獲取關鍵數據。在大多數情況下，在智能手機上使用銀行應用程序的用戶并不知道此類行為。

TeaBot攻擊的歷史

惡意軟件檢測依賴于傳統的防病毒技術，這些技術搜索可疑文件的名稱，并定期檢查應用程序及其哈希值是否存在惡意軟件。另一方面，這些策略近年來已經不再那么有效。這是因為，為了避免被殺毒軟件檢測到，黑客會創建文件名不斷變化的惡意軟件。

在去年，TeaBot惡意軟件攻擊(在德國也稱為Anatsa)成為行業媒體報道的頭條新聞。惡意代碼開發者試圖通過將其偽裝成無害應用程序來誘騙受害者下載惡意軟件。TeaBot配備了RAT功能，并提供多種語言版本。它們通過Play商店之外的惡意應用程序傳播，例如VLC MediaPlayer、UPS和DHL等應用程序。為了大規模傳播惡意軟件，黑客使用了所謂的偽裝攻擊：受害者收到一條帶有應用程序鏈接的短信，并使用它下載木馬。另一種傳播是下載和安裝TeaBot的虛假彈出窗口，將其自身實現為Android服務并在后臺運行。這使得它可以永久地嵌入終端設備中而不會被檢測到。在下載之后，它會獲得廣泛的權限，并立即開始掃描設備上安裝的應用程序。

TeaBot木馬通過遠程控制受害者的智能手機有效地接管了用戶的移動設備。它可以讀取短消息并將其轉發到命令和控制服務器，因此具有繞過一次性密碼(OTP)預防措施的能力。它獲得批準通知的訪問權限并具有日志記錄功能，可以禁用Google PlayProtect并發起覆蓋攻擊。Teabot通過從命令和控制服務器為目標應用程序加載一個特制的登錄頁面來做到這一點。網絡釣魚頁面放置在銀行應用程序上。在這里，用戶的憑據通過密鑰記錄收集，并轉發到黑客控制的命令和控制服務器。

TeaBot主要針對銀行和加密貨幣應用程序，但該惡意軟件還從其他已安裝的應用程序中收集信息。受害者幾乎不可能刪除它。如果犯罪分子獲得登錄和帳戶數據的訪問權限并能夠使用它們進行轉賬，則可能會造成慘重的經濟損失。

行為生物識別：檢測移動惡意軟件

檢測TeaBot RAT的一種方法是使用基于行為生物特征的解決方案。在這項技術的幫助下，銀行能夠識別是否是真實用戶在操作設備，或者移動設備是否被惡意軟件通過RAT遠程控制。惡意軟件與用戶的行為方式不同的一個例子是導航速度。在控制設備時，欺詐者非常熟悉支付流程，并快速執行支付，以避免被受害者發現。

基于行為生物特征的技術將用戶的行為與之前的客戶會話相匹配，以確定一致性和意圖。用戶持有移動設備的方式也是另一個指示因素：在欺詐會話中，可能在會話期間都通過桌面設備進行，而真正的用戶則拿著他們的智能手機四處走動。觸摸和滑動模式也可以被分析和匹配。在TeaBot RAT攻擊的情況下，通常看不到觸摸區域，這表明終端正在被遠程控制。如果在與先前會話不同的位置檢測到操作行為，則表明真實用戶在會話期間無法控制設備。

如果該技術基于行為生物識別技術識別出許多欺詐元素，則會向銀行的安全專家發出警報。借助行為生物識別技術和機器學習，金融機構可以在客戶遭受財務損失之前，對欺詐行為進行預防性干預。