Злонамерено приложение, изтеглено от Google Play повече от 10 000 пъти, тайно инсталира троянски кон за отдалечен достъп, който краде потребителски пароли, текстови съобщения и други поверителни данни, съобщи фирма за киберсигурност.

Троянският кон, който се подвизава под имената TeaBot и Anatsa, излезе наяве миналия май. Той използва софтуер за стрийминг и злоупотребява с услугите за достъпност на Android по начин, който позволява на създателите на зловреден софтуер да преглеждат дистанционно екраните на заразените устройства и да взаимодействат с операциите, извършвани от устройствата. По това време TeaBot беше програмиран да краде данни от предварително дефиниран списък с приложения от около 60 банки по целия свят.

Във вторник фирмата за сигурност Cleafy съобщи, че TeaBot се е завърнал. Този път троянският кон се разпространи чрез злонамерено приложение, наречено QR Code & Barcode Scanner, което, както подсказва името, позволи на потребителите да взаимодействат с QR кодове и баркодове. Приложението имаше повече от 10 000 инсталации, преди изследователите на Cleafy да уведомят Google за измамната дейност и Google да го премахне.

„Една от най-големите разлики в сравнение с пробите, открити през май 2021 г., е увеличаването на целевите приложения, които вече включват приложения за домашно банкиране, приложения за застраховки, крипто портфейли и крипто борси“, пишат изследователи на Cleafy. „За по-малко от година броят на приложенията, към които е насочен TeaBot, е нараснал с повече от 500%, преминавайки от 60 цели на над 400.“

През последните месеци TeaBot също започна да поддържа нови езици, включително руски, словашки и китайски, за да показва персонализирани съобщения на заразени телефони. Измамното приложение за сканиране, разпространявано в Google Play, беше открито като злонамерено само от две антивирусни услуги и поиска само няколко разрешения по време на изтеглянето. Всички отзиви представят приложението като легитимно и добре функциониращо, което го прави по-трудно за по-малко опитни хора да разпознаят като риска от TeaBot.

Веднъж инсталирано, злонамереното приложение за QR Code & Barcode Scanner показва изскачащ прозорец, информиращ потребителите, че е налична актуализация. Но вместо да направи актуализацията достъпна чрез Play, както е нормално, изскачащият прозорец я изтегли от две специфични хранилища на GitHub, създадени от потребител на име feleanicusor. Двете хранилища от своя страна инсталират TeaBot.

След като потребителите приемат да изтеглят и изпълнят фалшивата „актуализация“, TeaBot започва своя инсталационен процес, като поиска разрешенията на услугите за достъпност, за да получи необходимите привилегии.

TeaBot е само най-новият пример за зловреден софтуер за Android, който се разпространява чрез официалния пазар на приложения на Google. Компанията обикновено бързо премахва злонамерените приложения, след като бъдат докладвани, но продължава да се бори да идентифицира зловреден софтуер самостоятелно.

Снимка: Pikrepo

Виж още: Tesla Cyberquad ще бъде най-безопасното ATV в света

 

Още от Play