Вредоносное приложение, загруженное из Google Play более 10 000 раз, тайно установило троянскую программу удалённого доступа [remote access trojan/RAT/ратник], которая похищала пароли пользователей, текстовые сообщения и другие конфиденциальные данные.
Троян, известный под именами TeaBot и Anatsa, был обнаружен в мае прошлого года. Он использовал программное обеспечение для потоковой передачи и злоупотреблял Службами специальных возможностей Android таким образом, что позволял создателям вредоносного ПО удалённо просматривать экраны зараженных устройств и взаимодействовать с операциями, выполняемыми устройствами. В то время TeaBot был запрограммирован на кражу данных из предопределённого списка приложений примерно из 60 банков по всему миру.
Во вторник компания, занимающаяся кибербезопасностью, Cleafy сообщила, что TeaBot вернулся. На этот раз троян распространялся через вредоносное приложение под названием QR Code & Barcode Scanner, которое, как следует из названия, позволяло пользователям взаимодействовать с QR-кодами и штрих-кодами. Приложение было установлено более 10 000 раз, прежде чем исследователи Cleafy уведомили Google о мошеннической деятельности, и Google удалил его.
«Одним из самых больших отличий по сравнению с образцами, обнаруженными в мае 2021 года, является увеличение количества целевых приложений, которые теперь включают приложения для домашнего банковского обслуживания, приложения для страхования, криптокошельки и криптобиржи,» – пишут исследователи Cleafy. «Менее чем за год количество целевых приложений TeaBot выросло более чем на 500%, увеличившись с 60 до более чем 400.»
В последние месяцы TeaBot также начал поддерживать новые языки, включая русский, словацкий и китайский, для отображения пользовательских сообщений на зараженных телефонах.
Мошенническое приложение-сканер, распространяемое в Google Play, было обнаружено как вредоносное только двумя службами защиты от вредоносных программ, и на момент загрузки оно запрашивало лишь несколько разрешений. Во всех обзорах приложение преподносилось как легитимное и надёжное, из-за чего менее опытным пользователям было труднее выявить что приложение несёт опасность.
После установки вредоносное приложение QR Code & Barcode Scanner отображало всплывающее окно, информирующее пользователей о наличии обновления. Но вместо того, чтобы сделать обновление доступным через Google Play, как обычно, всплывающее окно загружало его из двух конкретных репозиториев GitHub, созданных пользователем по имени feleanicusor. Два репозитория, в свою очередь, устанавливали TeaBot.
Этот график дает обзор цепочки заражения, разработанной авторами TeaBot:
Исследователи Клифи писали:
Как только пользователи соглашаются загрузить и выполнить фальшивое «обновление», TeaBot начнет процесс установки, запросив разрешения Служб специальных возможностей, чтобы получить необходимые привилегии:
— Экран просмотра и управления: используется для получения конфиденциальной информации, такой как учётные данные для входа, SMS, коды 2FA с экрана устройства.
— Просмотр и выполнение действий: используется для принятия различного рода разрешений, сразу после этапа установки и для выполнения вредоносных действий на зараженном устройстве.
TeaBot – это новейшее вредоносное ПО для Android, которое распространяется через официальный рынок приложений Google. Компания, как правило, быстро удаляет вредоносные приложения после того, как о них сообщается, но ей по-прежнему трудно самостоятельно выявлять вредоносные программы. Представители Google не ответили на электронное письмо с просьбой дать комментарии для этой публикации.
В опубликованном во вторник посте Cleafy есть список индикаторов, которые люди могут использовать, чтобы определить, установили ли они вредоносное приложение.
источник https://arstechnica.com/?p=1837857
редактура и адаптация Дмитрий Бобров
