Малварь TeaBot снова проникла в Google Play Store - «Новости»

  • 10:30, 03-мар-2022
  • Новости / Изображения / Добавления стилей / Самоучитель CSS / Заработок / Текст / Преимущества стилей / Вёрстка
  • Milton
  • 0

Банковский троян TeaBot снова обнаружен в магазине Google Play Store, где он выдавал себя за приложение для чтения QR-кодов (QR Code & Barcode — Scanner) и успел распространиться более чем на 10 000 устройств. Малварь нацелена на пользователей более 400 банковских и финансовых приложений, в том числе из России, Китая и США.


Согласно отчету компании Cleafy, зараженные TeaBot приложения действуют как дропперы. То есть в Google Play Store они попадают без вредоносного кода и запрашивают минимальные разрешения у пользователя, так что рецензентам и автоматизированным проверкам Google трудно обнаружить что-то подозрительное. Кроме того, троянизированные приложения в самом деле работают, предоставляя обещанную функциональность, поэтому отзывы о них преимущественно положительные.





К примеру, обнаруженный в феврале QR Code & Barcode — Scanner выглядел как обычная утилита для сканирования QR-кодов. Однако после установки приложение запрашивало обновление через всплывающее сообщение, и вместо стандартной процедуры, установленной правилами Play Store, обновление загружалось из внешнего источника.


Эксперты отследили источник этих загрузок до двух репозиториев на GitHub, принадлежащих пользователю feleanicusor и содержащих несколько образцов малвари TeaBot, загруженных 17 февраля 2022 года.



Схема атаки

Как только такое «обновление» завершается, TeaBot загружается на устройство жертвы как новое приложение QR Code Scanner: Add-On. Это приложение запускается автоматически и запрашивает права на использование Accessibility Services для выполнения работы следующих функций:



  • просмотр экрана устройства и создание скришотов, на которых видны учетные данные для входа, коды двухфакторной аутентификации, содержимое SMS и так далее;

  • автоматическое предоставление малвари дополнительных разрешений в фоновом режиме, которое не требует вмешательства пользователя.





Интересно, что более ранние версии TeaBot, обнаруженные в январе 2021 год и изученные специалистами Bitdefender, завершали работу, если обнаруживали, что жертва находится в США. Теперь же TeaBot атакует и пользователей из США, а также получил поддержку русского, словацкого и китайского языков, то есть малварь атакует любых пользователей, не делая исключений.


Также, по сравнению с образцами начала 2021 года, теперь малварь отличается более серьезной обфускацией, а количество ее приложений-целей возросло на 500 % — с 60 до 400. В их число входят банковские и страховые приложения, а также криптовалютные кошельки и решения об обмены криптовалюты.


Банковский троян TeaBot снова обнаружен в магазине Google Play Store, где он выдавал себя за приложение для чтения QR-кодов (QR Code

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!