Een Android-bankiertrojan die is ontworpen om inloggegevens en sms-berichten te stelen, is opnieuw waargenomen langs de Google Play Store-beveiligingen om gebruikers van meer dan 400 bank- en financiële apps te targeten, waaronder die uit Rusland, China en de VS
"TeaBot RAT-mogelijkheden worden bereikt via de livestreaming van het apparaatscherm (on-demand aangevraagd) plus het misbruik van Accessibility Services voor externe interactie en key-logging", onderzoekers van Cleafy zei in een rapport. "Hierdoor kunnen Threat Actors (TA's) ATO (Account Takeover) rechtstreeks vanaf de gecompromitteerde telefoon uitvoeren, ook wel 'On-device-fraude' genoemd."
Ook bekend onder de naam Anatsa, eerst TeaBot voortgekomen in mei 2021, zijn kwaadaardige functies camoufleren door zich voor te doen als schijnbaar onschuldige PDF-document- en QR-codescanner-apps die worden verspreid via de officiële Google Play Store in plaats van apps van derden of via frauduleuze websites.
Deze apps, ook wel dropper-applicaties genoemd, fungeren als een kanaal om een tweede-traps payload te leveren die de malware-stam ophaalt om de controle over de geïnfecteerde apparaten over te nemen. In november 2021 heeft het Nederlandse beveiligingsbedrijf ThreatFabric bekendgemaakt dat het sinds juni vorig jaar zes Anatsa-druppelaars in de Play Store had geïdentificeerd.
Dan eerder deze januari, Bitdefender-onderzoekers geïdentificeerd TeaBot ligt op de loer op de officiële markt voor Android-apps als een "QR-codelezer - scanner-app", die meer dan 100,000 downloads behaalde binnen een tijdsbestek van een maand voordat het werd verwijderd.
De nieuwste versie van TeaBot-druppelaar, gespot door Cleafy op 21 februari 2022, is ook een QR-codelezer-app genaamd "QR Code & Barcode - Scanner" die ongeveer 10,000 keer is gedownload uit de Play Store.
Eenmaal geïnstalleerd is de modus operandi hetzelfde: gebruikers vragen om een nep-add-on-update te accepteren, wat op zijn beurt leidt tot de installatie van een tweede app die wordt gehost op GitHub die daadwerkelijk de TeaBot-malware bevat. Het is echter vermeldenswaard dat gebruikers installaties van onbekende bronnen moeten toestaan om deze aanvalsketen succesvol te laten zijn.
De laatste fase van de infectie houdt in dat de banktrojan toestemming vraagt van Accessibility Services om gevoelige informatie zoals inloggegevens en tweefactorauthenticatiecodes vast te leggen met als doel de accounts over te nemen om fraude op het apparaat uit te voeren.
"In minder dan een jaar tijd is het aantal applicaties waarop TeaBot zich richt met meer dan 500% gegroeid, van 60 doelwitten naar meer dan 400", aldus de onderzoekers. , en crypto-uitwisselingen.
