یک تروجان بانکی اندرویدی که برای سرقت اطلاعات کاربری و پیامهای اساماس طراحی شده بود، مشاهده شد که به طور مخفیانه از فروشگاه Google Play محافظت میکند تا از کاربران بیش از 400 برنامه بانکی و مالی از روسیه، چین و ایالات متحده و … استفاده کند.
محققان Cleafy در گزارشی گفتند: «قابلیتهای TeaBot RAT از طریق پخش زنده صفحه نمایش دستگاه (در صورت درخواست شده) به علاوه سوءاستفاده از خدمات دسترسی برای تعامل از راه دور و ثبت کلید به دست میآیند، همچنین به بازیگران تهدید (TAs) امکان میدهد تا مستقیماً از تلفن در معرض خطر ATO (تصرف حساب) را انجام دهند که به عنوان “کلاهبرداری در دستگاه” نیز شناخته میشود.”
TeaBot که با نام Anatsa نیز شناخته میشود، برای اولین بار در می 2021 ظهور کرد و عملکردهای مخرب خود را با ظاهر کردن برنامههای به ظاهر بیضرر سند PDF و اسکنر کد QR که از طریق فروشگاه رسمی Google Play به جای فروشگاه های برنامه های شخص ثالث یا از طریق وب سایتهای تقلبی توزیع میشوند، پنهان کرد.
این برنامهها که به عنوان برنامههای قطره چکانی نیز شناخته میشوند، به عنوان مجرای انتقال بار مرحله دوم عمل میکنند که فشار بدافزار را برای کنترل دستگاههای آلوده بازیابی میکند، در نوامبر 2021، شرکت امنیتی هلندی ThreatFabric فاش کرد که از ژوئن سال گذشته، شش قطره چکان Anatsa را در فروشگاه Play شناسایی کرده است.
سپس در اوایل ژانویه امسال، محققان Bitdefender TeaBot را که در بازار رسمی برنامههای اندرویدی در کمین بودند، به عنوان «برنامه خوان QR Code – Scanner App» شناسایی کردند که در مدت یک ماه قبل از این که استفاده شود، بیش از 100000 بار دانلود شده است.
آخرین نسخه TeaBot dropper که توسط Cleafy در 21 فوریه 2022 مشاهده شد، دارای یک برنامه کدخوان QR با نام “QR Code & Barcode – Scanner” است که تقریباً 10000 بار از فروشگاه Play دانلود شده است.
پس از نصب، روش کار مشابه این است: کاربران را وادار میکند که یک به روز رسانی جعلی الحاقی را بپذیرند، که به نوبه خود منجر به نصب برنامه دوم میزبانی شده در GitHub میشود که در واقع حاوی بدافزار TeaBot است، با این حال شایان ذکر است که کاربران برای موفقیت آمیز بودن این زنجیره حمله باید اجازه نصب از منابع ناشناس را بدهند.
مرحله آخر این عفونت شامل دسترسی به مجوزهای سرویس دسترسیپذیری برای ثبت اطلاعات حساس مانند اعتبار ورود به سیستم و کدهای تایید هویت دو مرحلهای با هدف گرفتن حسابها برای انجام کلاهبرداری در دستگاه است.
محققان گفتند: “در کمتر از یک سال، تعداد برنامههایی که توسط TeaBot مورد هدف قرار گرفتهاند بیش از ۵۰۰ درصد افزایشیافته است و از ۶۰ هدف به بیش از ۴۰۰ مورد رسیدهاست” و افزود که بدافزار اکنون چندین برنامه مربوط به بانکداری شخصی، بیمه، wallets، و exchanges رمزنگاری را مورد حمله قرار میدهد.
