Το τραπεζικό trojan TeaBot εντοπίστηκε για άλλη μια φορά στο Google Play Store όπου παρουσιάστηκε ως εφαρμογή κωδικού QR και εξαπλώθηκε σε περισσότερες από 10.000 συσκευές.
Αυτό είναι ένα τέχνασμα που χρησιμοποίησαν οι διανομείς του πριν, τον Ιανουάριο, και παρόλο που η Google έδιωξε αυτές τις καταχωρίσεις, φαίνεται ότι το κακόβουλο λογισμικό μπορεί ακόμα να βρει τρόπο στο επίσημο αποθετήριο εφαρμογών Android.
Σύμφωνα με μια αναφορά από την Cleafy, μια διαδικτυακή εταιρεία διαχείρισης και πρόληψης απάτης, αυτές οι εφαρμογές λειτουργούν ως droppers. Υποβάλλονται χωρίς κακόβουλο κώδικα και ζητούν ελάχιστες άδειες, γεγονός που καθιστά δύσκολο για τους αναθεωρητές της Google να εντοπίσουν οτιδήποτε σκιερό.
Επίσης, οι trojanized εφαρμογές περιλαμβάνουν την υποσχεμένη λειτουργικότητα, επομένως οι κριτικές χρηστών στο Play Store είναι θετικές.
Λήψη του ωφέλιμου φορτίου TeaBot
Τον Φεβρουάριο, οι ερευνητές ανακάλυψαν ότι το TeaBot πόζαρε ως εφαρμογή με το όνομα «QR Code & Barcode – Scanner», η οποία εμφανίζεται ως ένα νόμιμο βοηθητικό πρόγραμμα σάρωσης κωδικών QR.
Κατά την εγκατάσταση, η εφαρμογή ζητά ενημέρωση μέσω ενός αναδυόμενου μηνύματος, αλλά αντίθετα με την τυπική διαδικασία που επιβάλλεται από τις οδηγίες του Play Store, η ενημέρωση λαμβάνεται από εξωτερική πηγή.
Ο Cleafy εντόπισε την πηγή λήψης σε δύο αποθετήρια GitHub που ανήκουν στον ίδιο χρήστη (feleanicusor), που περιέχουν πολλά δείγματα TeaBot, τα οποία ανέβηκαν στις 17 Φεβρουαρίου 2022.
Μόλις το θύμα αποδεχτεί να εγκαταστήσει την ενημέρωση από μη αξιόπιστες πηγές, το TeaBot φορτώνεται στις συσκευή ως νέα εφαρμογή με το όνομα “QR Code Scanner: Add-On”.
Μόλις το θύμα αποδεχτεί να εγκαταστήσει την ενημέρωση από μη αξιόπιστες πηγές, το TeaBot φορτώνεται στη συσκευή του ως νέα εφαρμογή με το όνομα “QR Code Scanner: Add-On”.
Η νέα εφαρμογή ξεκινά αυτόματα και ζητά από τον χρήστη να χορηγήσει άδεια χρήσης των Υπηρεσιών Προσβασιμότητας, για να εκτελέσει τις ακόλουθες λειτουργίες:
- Προβολή της οθόνης της συσκευής και λήψη στιγμιότυπων οθόνης που εκθέτουν τα διαπιστευτήρια σύνδεσης, κωδικούς 2FA, περιεχόμενο SMS κ.λπ.
- Εκτελέστε ενέργειες όπως αυτόματη παραχώρηση πρόσθετων αδειών στο παρασκήνιο χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.