تمت ملاحظة حصان طروادة مصرفي يعمل بنظام Android مصمم لسرقة بيانات الاعتماد والرسائل النصية القصيرة مرة أخرى وهو يتسلل مرة أخرى إلى حماية متجر Google Play السابقة لاستهداف مستخدمي أكثر من 400 تطبيق مصرفي ومالي ، بما في ذلك التطبيقات من روسيا والصين والولايات المتحدة.
"يتم تحقيق إمكانات TeaBot RAT من خلال البث المباشر لشاشة الجهاز (مطلوب عند الطلب) بالإضافة إلى إساءة استخدام خدمات إمكانية الوصول للتفاعل عن بُعد وتسجيل المفاتيح ،" باحثو Cleafy محمد في تقرير. "يتيح ذلك لجهات التهديد (TAs) تنفيذ ATO (السيطرة على الحساب) مباشرة من الهاتف المعرض للخطر ، والمعروف أيضًا باسم" الاحتيال على الجهاز "."
المعروف أيضًا باسم Anatsa ، TeaBot أولاً ظهرت في مايو 2021 ، تمويه وظائفه الضارة من خلال التظاهر بأنه مستند PDF غير ضار على ما يبدو وتطبيقات الماسح الضوئي لرمز الاستجابة السريعة التي يتم توزيعها عبر متجر Google Play الرسمي بدلاً من متاجر تطبيقات الطرف الثالث أو عبر مواقع الويب الاحتيالية.
تعمل هذه التطبيقات ، المعروفة أيضًا باسم تطبيقات القطارة ، كقناة لتقديم حمولة المرحلة الثانية التي تسترد إجهاد البرامج الضارة للسيطرة على الأجهزة المصابة. في نوفمبر 2021 ، شركة الأمن الهولندية ThreatFabric كشف أنها حددت ستة قطارات Anatsa على متجر Play منذ يونيو من العام الماضي.
ثم في وقت سابق من هذا الشهر ، باحثو Bitdefender محدد يتربص TeaBot في سوق تطبيقات Android الرسمي باعتباره "قارئ رمز الاستجابة السريعة - تطبيق الماسح" ، حيث حصل على أكثر من 100,000 عملية تنزيل في غضون شهر قبل إزالته.
أحدث إصدار من قطارة TeaBot الذي رصده Cleafy في 21 فبراير 2022 ، هو أيضًا تطبيق قارئ رمز QR يسمى "QR Code & Barcode - Scanner" والذي تم تنزيله ما يقرب من 10,000 مرة من متجر Play.
بمجرد تثبيت طريقة التشغيل هي نفسها: مطالبة المستخدمين بقبول تحديث الوظيفة الإضافية المزيف ، والذي بدوره يؤدي إلى تثبيت تطبيق ثان مستضاف على GitHub يحتوي بالفعل على برنامج TeaBot الضار. ومع ذلك ، تجدر الإشارة إلى أن المستخدمين بحاجة إلى السماح لعمليات التثبيت من مصادر غير معروفة حتى تنجح سلسلة الهجوم هذه.
تتضمن المرحلة الأخيرة من الإصابة حصان طروادة المصرفية الذي يسعى للحصول على أذونات خدمات إمكانية الوصول لالتقاط معلومات حساسة مثل بيانات اعتماد تسجيل الدخول وأكواد المصادقة الثنائية بهدف الاستيلاء على الحسابات لتنفيذ عمليات احتيال على الجهاز.
قال الباحثون: "في أقل من عام ، نما عدد التطبيقات التي تستهدفها TeaBot بأكثر من 500٪ ، حيث انتقل من 60 هدفًا إلى أكثر من 400" ، مضيفين أن البرامج الضارة تضرب الآن العديد من التطبيقات المتعلقة بالخدمات المصرفية الشخصية والتأمين ومحافظ العملات المشفرة و تبادل العملات المشفرة.
