Компания по обеспечению безопасности сообщила, что вредоносное приложение, которое было загружено из Google Play более 10 000 раз, установило скрытый троян удаленного доступа, который похищал пароли пользователей, текстовые сообщения и другие конфиденциальные данные.
Появился троянский конь, который носит имена TeaBot и Anatsa в прошлом мае. Вещательные компании использовали службы доступа Android и злоупотребляли ими, что позволяет создателям вредоносных программ удаленно просматривать экраны зараженных устройств и взаимодействовать с процессами устройств. В то время TeaBot был запрограммирован на кражу данных из предварительно выбранного списка приложений примерно из 60 банков по всему миру.
Во вторник охранная компания Cleafy упомянул Этот TeaBot вернулся. На этот раз троянец распространился через вредоносное приложение под названием QR Code & Barcode Scanner, которое позволяло пользователям взаимодействовать с QR-кодами и штрих-кодами, как следует из названия. Приложение было установлено более 10 000 раз, прежде чем исследователи Cleafy уведомили Google о мошеннической деятельности, и Google удалил его.
Одно из самых больших отличий[s]по сравнению с образцами, обнаруженными в течение … мая 2021 года, заключается в увеличении целевых приложений, которые теперь включают Домашние банковские приложения, страховые приложения, криптокошельки и криптовалютные биржиКниги Клиффи Ученых. «Менее чем за год количество приложений, на которые нацелен TeaBot, выросло более чем на 500%, увеличившись с 60 целей до более чем 400».
В последние месяцы TeaBot также начал поддерживать новые языки, включая русский, словацкий и китайский, для отображения персонализированных сообщений на зараженных телефонах. Распределенное приложение сканера мошенничества Play было обнаружено как вредоносное только двумя службами защиты от вредоносных программ, и во время загрузки оно запрашивало лишь несколько разрешений. Во всех обзорах приложение изображалось как законное и хорошо работающее, из-за чего менее опытным людям было трудно идентифицировать его как риск.
После установки вредоносное приложение QR Code & Barcode Scanner отображает всплывающее окно, информирующее пользователей о наличии обновления. Но вместо того, чтобы сделать обновление доступным через Play, как обычно, всплывающее окно загрузило его из определенных репозиториев GitHub, созданных пользователем по имени feleanicusor. Два репозитория, в свою очередь, установили TeaBot.
На этой инфографике представлен обзор цепочки заражения, разработанной авторами TeaBot:
Клиффи
Исследователи Клифи писали:
После того, как пользователи примут загрузку и выполнят фиктивное «обновление», TeaBot начнет процесс установки, запросив разрешения служб доступа, чтобы получить необходимые привилегии:
- Дисплей и экран управления: Используется для получения конфиденциальной информации, такой как учетные данные для входа в систему, SMS-сообщения и коды 2FA с экрана устройства.
- Просмотр и выполнение действий: Они используются для принятия различных типов разрешений сразу после этапа установки и для выполнения вредоносных действий на зараженном устройстве.
Клиффи
TeaBot — новейшее вредоносное ПО для Android, опубликованное через официальный Google App Market. Как правило, компания быстро удаляет вредоносные приложения, как только о них сообщается, но по-прежнему изо всех сил пытается идентифицировать вредоносное ПО самостоятельно. Представители Google не ответили на электронное письмо с просьбой прокомментировать это сообщение.
Сообщение Клифи во вторник содержит список индикаторов, которые люди могут использовать, чтобы определить, установили ли они вредоносное приложение.
Список изображений по Гетти Изображений
«Тотальный организатор. Поклонник Твиттера. Любитель социальных сетей. Профессиональный зомби-знаток».