انتشار بدافزار بانکی TeaBot Android از طریق برنامه‌های فروشگاه Google Play

یک تروجان بانکی اندرویدی که برای سرقت اطلاعات کاربری و پیام‌های اس‌ام‌اس طراحی شده بود، مشاهده شد که به طور مخفیانه از فروشگاه Google Play محافظت می‌کند تا از کاربران بیش از 400 برنامه بانکی و مالی از روسیه، چین و ایالات متحده و ... استفاده کند.

محققان Cleafy در گزارشی گفتند: «قابلیت‌های TeaBot RAT از طریق پخش زنده صفحه نمایش دستگاه (در صورت درخواست شده) به‌ علاوه سوء‌استفاده از خدمات دسترسی برای تعامل از راه دور و ثبت کلید به دست می‌آیند، همچنین به بازیگران تهدید (TAs) امکان می‌دهد تا مستقیماً از تلفن در معرض خطر ATO (تصرف حساب) را انجام دهند که به عنوان "کلاهبرداری در دستگاه" نیز شناخته می‌شود."

TeaBot که با نام Anatsa نیز شناخته می‌شود، برای اولین بار در می 2021 ظهور کرد و عملکردهای مخرب خود را با ظاهر کردن برنامه‌های به ظاهر بی‌ضرر سند PDF و اسکنر کد QR که از طریق فروشگاه رسمی Google Play به جای فروشگاه های برنامه های شخص ثالث یا از طریق وب سایت‌های تقلبی توزیع می‌شوند، پنهان کرد.

این برنامه‌ها که به عنوان برنامه‌های قطره چکانی نیز شناخته می‌شوند، به عنوان مجرای انتقال بار مرحله دوم عمل می‌کنند که فشار بدافزار را برای کنترل دستگاه‌های آلوده بازیابی می‌کند، در نوامبر 2021، شرکت امنیتی هلندی ThreatFabric فاش کرد که از ژوئن سال گذشته، شش قطره چکان Anatsa را در فروشگاه Play شناسایی کرده است.

سپس در اوایل ژانویه امسال، محققان Bitdefender TeaBot را که در بازار رسمی برنامه‌های اندرویدی در کمین بودند، به عنوان «برنامه خوان QR Code - Scanner App» شناسایی کردند که در مدت یک ماه قبل از این که استفاده شود، بیش از 100000 بار دانلود شده است.

آخرین نسخه TeaBot dropper که توسط Cleafy در 21 فوریه 2022 مشاهده شد، دارای یک برنامه کدخوان QR با نام "QR Code & Barcode - Scanner" است که تقریباً 10000 بار از فروشگاه Play دانلود شده است.

پس از نصب، روش کار مشابه این است: کاربران را وادار می‌کند که یک به روز رسانی جعلی الحاقی را بپذیرند، که به نوبه خود منجر به نصب برنامه دوم میزبانی شده در GitHub می‌شود که در واقع حاوی بدافزار TeaBot است، با این حال شایان ذکر است که کاربران برای موفقیت آمیز بودن این زنجیره حمله باید اجازه نصب از منابع ناشناس را بدهند.

مرحله آخر این عفونت شامل دسترسی به مجوزهای سرویس دسترسی‌پذیری برای ثبت اطلاعات حساس مانند اعتبار ورود به سیستم و کدهای تایید هویت دو مرحله‌ای با هدف گرفتن حساب‌ها برای انجام کلاهبرداری در دستگاه است.

محققان گفتند: "در کم‌تر از یک سال، تعداد برنامه‌هایی که توسط TeaBot مورد هدف قرار گرفته‌اند بیش از ۵۰۰ درصد افزایش‌یافته است و از ۶۰ هدف به بیش از ۴۰۰ مورد رسیده‌است" و افزود که بدافزار اکنون چندین برنامه مربوط به بانکداری شخصی، بیمه، wallets، و exchanges رمزنگاری را مورد حمله قرار می‌دهد.

► شهروندان، قربانی کلاهبرداری اینترنتی در خرید و فروش سایت‌های واسط
برخورد قاطع پلیس فتا با عاملان انتشار تصاویر ساخت ، تولید و توزیع مواد محترقه ◄