Компанія з безпеки повідомила, що шкідливий додаток, який було завантажено з Google Play більше 10 000 разів, інсталював троян для прихованого віддаленого доступу, який викрадав паролі користувачів, текстові повідомлення та інші конфіденційні дані.
З’явився троянський кінь, який носить імена TeaBot і Anatsa минулого травня. Мовники використовували та зловживали службами доступу Android таким чином, що дозволяли розробникам шкідливих програм віддалено переглядати екрани заражених пристроїв і взаємодіяти з процесами пристроїв. У той час TeaBot був запрограмований на крадіжку даних із попередньо вибраного списку додатків приблизно з 60 банків по всьому світу.
У вівторок охоронна компанія Cleafy згаданий Цей TeaBot повернувся. Цього разу троян поширився через шкідливий додаток під назвою QR Code & Barcode Scanner, який дозволяв користувачам взаємодіяти з QR-кодами та штрих-кодами, як випливає з назви. Програму було встановлено понад 10 000, перш ніж дослідники Cleafy повідомили Google про шахрайську діяльність, і Google видалив її.
Одна з найбільших відмінностей[s]порівняно із зразками, виявленими протягом … травня 2021 року, має збільшити цільові програми, які зараз включають Додатки для домашнього банкінгу, програми страхування, крипто-гаманці та біржі криптовалютКниги Cliffy Scholars. «Менш ніж за рік кількість додатків, на які націлено TeaBot, зросла більш ніж на 500%, з 60 до більш ніж 400».
В останні місяці TeaBot також почав підтримувати нові мови, зокрема російську, словацьку та китайську, для відображення персоналізованих повідомлень на заражених телефонах. Додаток розповсюдженого сканера шахрайства Play був виявлений як зловмисний лише двома службами захисту від шкідливих програм, і він запитував лише кілька дозволів під час завантаження. Усі огляди показували, що додаток є законним і добре працює, що ускладнює для менш досвідчених людей визначення його як ризику.
Після встановлення шкідливий додаток QR Code & Barcode Scanner відображає спливаюче вікно, яке повідомляє користувачів про доступність оновлення. Але замість того, щоб зробити оновлення доступним через Play, як зазвичай, спливаюче вікно завантажило його з певних сховищ GitHub, створених користувачем на ім’я feleanicusor. Два сховища, у свою чергу, встановили TeaBot.
Ця інфографіка надає огляд ланцюга зараження, розробленого авторами TeaBot:
Кліффі
Дослідники Cleafy написали:
Після того, як користувачі приймуть завантаження та виконають фіктивне «оновлення», TeaBot розпочне процес встановлення, запитуючи дозволи Access Services, щоб отримати необхідні привілеї:
- Дисплей та екран керування: Використовується для отримання конфіденційної інформації, такої як облікові дані для входу, SMS-повідомлення та коди 2FA з екрана пристрою.
- Переглянути та виконати дії: Вони використовуються для прийняття різних типів дозволів відразу після фази встановлення та для виконання шкідливих дій на зараженому пристрої.
Кліффі
TeaBot — це остання зловмисне програмне забезпечення для Android, яке буде опубліковано на офіційному Google App Market. Як правило, компанія швидко видаляє шкідливі програми, як тільки про них повідомляється, але вона все ще намагається визначити зловмисне програмне забезпечення самостійно. Представники Google не відповіли на електронний лист із проханням прокоментувати цю публікацію.
Допис Кліфі у вівторок містить список індикаторів, за допомогою яких люди можуть визначити, чи встановили вони шкідливий додаток.
Список зображень за Getty Images
“Загальний ніндзя в соціальних мережах. Інтроверт. Творець. Шанувальник телебачення. Підприємець, що отримує нагороди. Веб-ботанік. Сертифікований читач”
