BIZIT 2024

Aplikacija Google Play preuzeta više od 10.000 puta sadržala je data-stealing RAT 

Zlonamerna aplikacija koja je preuzeta sa Google Play-a više od 10.000 puta, krišom je instalirala trojanac za daljinski pristup koji je ukrao korisničke lozinke, tekstualne poruke i druge poverljive podatke.

PCPress.rs Image

Da li ste bili zaraženi?

Trojanac, koji nosi nazive TeaBot i Anatsa, izašao je na videlo prošlog maja. Koristio je softver za striming i zloupotrebio Android-ove usluge pristupačnosti na način koji je omogućio kreatorima zlonamernog softvera da daljinski gledaju ekrane zaraženih uređaja i komuniciraju sa operacijama koje su uređaji obavljali. U to vreme, TeaBot je bio programiran da ukrade podatke sa unapred definisane liste aplikacija iz oko 60 banaka širom sveta.

U utorak je bezbednosna firma Cleafy izvestila da se TeaBot vratio. Ovog puta, trojanac se proširio preko zlonamerne aplikacije pod nazivom QR Code & Barcode Scanner, koja je, kao što je ime sugerisala, omogućila korisnicima interakciju sa QR i bar kodovima. Aplikacija je imala više od 10.000 instalacija pre nego što su istraživači kompanije Cleafy obavestili Google. Jedna od najvećih razlika, u poređenju sa uzorcima otkrivenim tokom maja 2021., je povećanje ciljanih aplikacija koje sada uključuju aplikacije za kućno bankarstvo, aplikacije za osiguranje, kripto novčanike i kripto berze. Za manje od godinu dana, broj aplikacija koje cilja TeaBot porastao je za više od 500%, sa 60 ciljeva na preko 400. Poslednjih meseci, TeaBot je takođe počeo da podržava nove jezike uključujući ruski, slovački i mandarinski kineski za prikazivanje prilagođenih poruka na zaraženim telefonima. Lažnu aplikaciju skenera distribuiranu na Play-u otkrile su kao zlonamernu samo dve antimalver usluge i tražila je samo nekoliko dozvola u trenutku kada je preuzeta. Sve recenzije su prikazale aplikaciju kao legitimnu i dobro funkcionišuću, što je manje iskusnim ljudima otežavalo da TeaBot prepozna kao rizik. Jednom instalirana, zlonamerna aplikacija QR Code & Barcode Scanner je prikazala iskačući prozor koji obaveštava korisnike da je ažuriranje dostupno. Ali umesto da ažuriranje učini dostupnim preko Play-a kao što je normalno, iskačući prozor ga je preuzeo iz dva specifična GitHub spremišta koje je kreirao korisnik po imenu feleanicusor. Dva spremišta su zauzvrat instalirala TeaBot. Kada korisnici prihvate da preuzmu i izvrše lažno „ažuriranje“, TeaBot će započeti proces instalacije tako što će zahtevati dozvole za usluge pristupačnosti kako bi dobio potrebne privilegije:

  • View and control screen: koristi se za preuzimanje osetljivih informacija kao što su akreditivi za prijavu, SMS, 2FA kodovi sa ekrana uređaja.
  • View and perform actions: koristi se za prihvatanje različitih vrsta dozvola, odmah nakon faze instalacije, i za obavljanje zlonamernih radnji na zaraženom uređaju.
Pročitajte i:  7 sigurnosnih funkcija na Androidu koje bi trebalo da koristite

TeaBot je samo najnoviji deo Android malvera koji se širi preko Google-ovog zvaničnog tržišta aplikacija. Kompanija generalno brzo uklanja zlonamerne aplikacije kada se prijave, ali nastavlja da se bori da sama identifikuje zlonamerni softver.

Izvor: Arstechnica

Facebook komentari:
Računari i Galaksija
Tagovi: , ,