Через магазин Google Play розповсюджувався шкідливий додаток, який таємно встановив троян віддаленого доступу. Він викрадав паролі користувачів, текстові повідомлення та інші конфіденційні дані. Цей шкідливий додаток було встановлено понад 10 тис. разів.
Цей троян відомий під назвами TeaBot та Anatsa. Він з’явився в травні минулого року та використовував потокове програмне забезпечення й скомпрометовані служби доступності Android таким чином, що дозволяло віддалено переглядати екрани заражених пристроїв і взаємодіяти з операціями, які вони виконували. У той час TeaBot був запрограмований на крадіжку даних із попередньо визначеного переліку додатків приблизно з 60 банків по всьому світу.
Нині компанія Cleafy повідомляє, що троян TeaBot знов з’явився та розповсюджується через шкідливий додаток під назвою QR Code & Barcode Scanner. Цей додаток мав понад 10 тис. завантажень, перш ніж дослідники Cleafy повідомили Google про шахрайську діяльність та компанія видалила його.
Однак нова версія трояну має відмінності. Тепер TeaBot має більше цільових додатків, включно з додатками домашнього банкінгу, страхування, крипто-гаманців та крипто-бірж.
«Менш ніж за рік кількість додатків, на які націлено TeaBot, зросла більш ніж на 500%, з 60 до понад 400», — розповідають дослідники Cleafy.
Крім того, останніми місяцями TeaBot також почав підтримувати додаткові мови для користувацьких повідомлень на заражених телефонах, зокрема російську, словацьку та китайську.
Шахрайський додаток був виявлений як шкідливий лише двома службами захисту від шкідливих програм, і під час завантаження він запитував лише кілька дозволів. Усі огляди описували додаток як законний та такий, що добре працює. Це ускладнює розпізнавання TeaBot як ризик для менш досвідчених людей.
Річ у тім, що після встановлення шкідливий додаток QR Code & Barcode Scanner показував спливаюче вікно, яке інформує користувачів про доступність оновлення. Але замість того, щоб зробити оновлення доступним через Google Play, як зазвичай, спливаюче вікно завантажило його з двох конкретних сховищ GitHub, створених користувачем feleanicusor. Два сховища, своєю чергою, встановлювали TeaBot. Після того, як користувачі погоджувалися завантажити та виконати фальшиве «оновлення», TeaBot розпочинав процес встановлення, запитуючи дозволи Служб доступності, щоб отримати необхідні привілеї.
Джерело: arstechnica