Το TeaBot banking trojan εντοπίστηκε ξανά στο Google Play Store μεταμφιεσμένο σε QR code app. Λέγεται ότι έχει εξαπλωθεί σε περισσότερες από 10.000 συσκευές.
Είναι ένα τέχνασμα που είχαν χρησιμοποιήσει οι διανομείς του και νωρίτερα, τον Ιανουάριο, και παρόλο που η Google αφαίρεσε εκείνες τις καταχωρίσεις, το malware κατάφερε πάλι να περάσει στο Play Store.
Δείτε επίσης: H Nvidia επιβεβαιώνει παραβίαση δεδομένων μετά από κυβερνοεπίθεση
Σύμφωνα με μια αναφορά από την Cleafy, μια διαδικτυακή εταιρεία διαχείρισης και πρόληψης απάτης, αυτού του είδους οι εφαρμογές λειτουργούν ως droppers. Υποβάλλονται χωρίς κακόβουλο κώδικα και ζητούν ελάχιστες άδειες. Γι’ αυτό το λόγο, οι έλεγχοι της Google δυσκολεύονται να εντοπίσουν κάτι ύποπτο. Επιπλέον, οι trojanized εφαρμογές προσφέρουν τη λειτουργία που υπόσχονται, επομένως οι χρήστες δεν καταλαβαίνουν τίποτα και οι κριτικές τους στο Play Store είναι θετικές.
Εφαρμογή στο Play Store διανέμει το TeaBot trojan
Τον Φεβρουάριο, οι ερευνητές διαπίστωσαν ότι το TeaBot εμφανιζόταν σαν μια εφαρμογή με το όνομα “QR Code & Barcode – Scanner“, η οποία εμφανίζεται ως ένα νόμιμο πρόγραμμα σάρωσης QR code.
Κατά την εγκατάσταση, η εφαρμογή ζητά ενημέρωση μέσω ενός μηνύματος που εμφανίζει, αλλά αντίθετα με την τυπική διαδικασία που επιβάλλεται από τις οδηγίες του Play Store, η ενημέρωση λαμβάνεται από εξωτερική πηγή.
Η Cleafy εντόπισε την πηγή λήψης σε δύο GitHub repositories που ανήκουν στον ίδιο χρήστη (feleanicusor) και περιέχουν πολλά δείγματα TeaBot (μεταφόρτωση στις 17 Φεβρουαρίου 2022).
Μόλις το θύμα αποδεχτεί την ενημέρωση από την εξωτερική, μη αξιόπιστη πηγή, το TeaBot φορτώνεται στη συσκευή του ως νέα εφαρμογή με το όνομα “QR Code Scanner: Add-On”.
Η νέα εφαρμογή ανοίγει αυτόματα και ζητά από τον χρήστη να χορηγήσει άδεια χρήσης των Accessibility Services. Αυτό επιτρέπει στο TeaBot trojan να κάνει τα ακόλουθα:
- Παρακολούθηση της οθόνης της συσκευής και λήψη screenshots που εκθέτουν login credentials, κωδικούς 2FA, περιεχόμενο SMS κ.λπ.
- Εκτέλεση ενεργειών, όπως αυτόματη παραχώρηση πρόσθετων αδειών στο παρασκήνιο χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.
Δείτε επίσης: Κινέζοι cyberspies στοχεύουν κυβερνήσεις με το «πιο προηγμένο» backdoor
Στο Android 12, η Google έχει εισαγάγει ορισμένες αλλαγές στο API για το Accessibility Service (με σκοπό την ασφάλεια). Ωστόσο, τα περισσότερα τηλέφωνα Android εξακολουθούν να εκτελούν Android 11 ή παλαιότερη έκδοση.
TeaBοt banking trojan: Στόχοι
Στις εκδόσεις που κυκλοφόρησαν στο Play Store τον Ιανουάριο του 2021 (αναλύθηκαν από τη Bitdefender), το TeaBot απέφευγε τη στόχευση θυμάτων στις Ηνωμένες Πολιτείες.
Τώρα, όμως, φαίνεται ότι το TeaBot στοχεύει ενεργά χρήστες στις ΗΠΑ και έχει προσθέσει επίσης ρωσικά, σλοβακικά και κινεζικά, υποδεικνύοντας ότι το κακόβουλο λογισμικό στοχεύει χρήστες σε όλο τον κόσμο.
Δείτε επίσης: Banking malware: Τα πιο επικίνδυνα trojans που έχουν υπάρξει!
Ενδεχομένως, οι χειριστές του TeaBot νιώθουν τώρα ότι έχουν δημιουργήσει ένα πιο ισχυρό malware. Σε σύγκριση με τα δείγματα των αρχών του 2021, το κακόβουλο λογισμικό διαθέτει πλέον ισχυρότερο string obfuscation και στοχεύει 500% περισσότερες (από 60 σε 400) εφαρμογές τραπεζών, ασφάλισης, crypto wallet και crypto exchange.
Για να ελαχιστοποιήσετε τις πιθανότητες μόλυνσης από banking trojans, όπως το TeaBot, μην κατεβάζετε πολλές εφαρμογές στη συσκευή σας (ακόμα και από το Play Store). Επίσης, κάθε φορά που εγκαθιστάτε μια νέα εφαρμογή, παρακολουθήστε την κατανάλωση της μπαταρίας και τον όγκο του network traffic για τις πρώτες δύο ημέρες, για να εντοπίσετε τυχόν ύποπτα μοτίβα.
Πηγή: Bleeping Computer