Bir güvenlik şirketi, Google Play’den 10.000’den fazla kez indirilen kötü amaçlı bir uygulamanın, kullanıcıların şifrelerini, metin mesajlarını ve diğer gizli verilerini çalan gizli bir uzaktan erişim truva atı yüklediğini bildirdi.
TeaBot ve Anatsa adlarını taşıyan bir Truva atı ortaya çıktı. geçen Mayıs. Yayıncılar, Android erişim hizmetlerini, kötü amaçlı yazılım oluşturucuların virüslü cihazların ekranlarını uzaktan görüntülemesine ve cihazların süreçleriyle etkileşime girmesine izin verecek şekilde kullandı ve kötüye kullandı. O zamanlar TeaBot, dünya çapında yaklaşık 60 bankadan önceden seçilmiş bir uygulama listesinden veri çalmak üzere programlanmıştı.
Salı günü, güvenlik şirketi Cleafy adı geçen O TeaBot geri döndü. Bu sefer Truva Atı, kullanıcıların adından da anlaşılacağı gibi QR kodları ve barkodlarla etkileşime girmesine olanak tanıyan QR Code & Barcode Scanner adlı kötü amaçlı bir uygulama aracılığıyla yayıldı. Uygulamanın, Cleafy araştırmacılarının Google’a dolandırıcılık faaliyetini bildirmesinden ve Google onu kaldırmadan önce 10.000’den fazla yüklemesi vardı.
En büyük farklardan biri[s]sırasında keşfedilen örneklerle karşılaştırıldığında … Mayıs 2021, şimdi içeren hedef uygulamaları artırmaktır. Ev bankacılığı uygulamaları, sigorta uygulamaları, kripto cüzdanları ve kripto para borsalarıCliffy Alimler Kitapları. “Bir yıldan kısa bir süre içinde, TeaBot tarafından hedeflenen uygulama sayısı %500’den fazla artarak 60 hedeften 400’ün üzerine çıktı.”
Son aylarda TeaBot, virüslü telefonlarda kişiselleştirilmiş mesajları görüntülemek için Rusça, Slovakça ve Mandarin Çincesi gibi yeni dilleri de desteklemeye başladı. Play dağıtılmış dolandırıcılık tarayıcı uygulaması, yalnızca iki kötü amaçlı yazılımdan koruma hizmeti tarafından kötü amaçlı olarak algılandı ve indirme sırasında yalnızca birkaç izin istedi. Tüm incelemeler, uygulamayı meşru ve iyi çalışıyor olarak göstererek daha az deneyimli kişilerin uygulamayı bir risk olarak tanımlamasını zorlaştırdı.
Kötü amaçlı QR Kodu ve Barkod Tarayıcı uygulaması yüklendikten sonra, kullanıcıları bir güncellemenin mevcut olduğunu bildiren bir açılır pencere görüntüler. Ancak, güncellemeyi her zamanki gibi Play aracılığıyla kullanıma sunmak yerine, açılır pencere onu feleanicusor adlı bir kullanıcı tarafından oluşturulan belirli GitHub depolarından indirdi. İki depo da TeaBot’u kurdu.
Bu bilgi grafiği, TeaBot yazarları tarafından geliştirilen enfeksiyon zincirine genel bir bakış sağlar:
uçurum
Cleafy araştırmacıları şunları yazdı:
Kullanıcılar indirmeyi kabul edip sahte ‘güncellemeyi’ yürüttüğünde, TeaBot gerekli ayrıcalıkları elde etmek için Erişim Hizmetleri izinlerini talep ederek kurulum sürecini başlatır:
- Ekran ve kontrol ekranı: Cihaz ekranından oturum açma kimlik bilgileri, SMS mesajları ve 2FA kodları gibi hassas bilgileri almak için kullanılır.
- Eylemleri görüntüleyin ve gerçekleştirin: Kurulum aşamasından hemen sonra farklı izin türlerini kabul etmek ve virüslü cihazda kötü niyetli eylemler gerçekleştirmek için kullanılırlar.
uçurum
TeaBot, resmi Google App Market aracılığıyla yayınlanan en son Android kötü amaçlı yazılım parçasıdır. Şirket, genellikle kötü amaçlı uygulamaları bildirildiği anda hızlı bir şekilde kaldırır, ancak yine de kötü amaçlı yazılımı kendi başına tespit etmek için mücadele eder. Google temsilcileri, bu gönderiye yorum yapılmasını isteyen bir e-postaya yanıt vermedi.
Cleafy’nin Salı gönderisi, insanların kötü amaçlı bir uygulama yükleyip yüklemediklerini belirlemek için kullanabilecekleri göstergelerin bir listesini içeriyor.
Resim listesi Getty Resimleri
“Gezgin. Twitter ninja. Ödüllü yaratıcı. Kendini adamış seyahatkolik. Sert zombi savunucusu. İnternet hayranı.”