Un notoire Android Le cheval de Troie bancaire conçu pour voler les données des utilisateurs, comme les mots de passe et les SMS, a été découvert sur Google Play et téléchargé des milliers de fois.
Le cheval de Troie bancaire TeaBot, également connu sous le nom d’Anatsa et Toddler, a été observé pour la première fois en mai 2021 ciblant les banques européennes en volant des codes d’authentification à deux facteurs envoyés par SMS. UNE nouveau rapport de Cleafyune solution de gestion et de prévention de la fraude en ligne, indique maintenant que le logiciel malveillant a évolué pour inclure la distribution via une charge utile malveillante de deuxième étape, et cible désormais les utilisateurs en Russie, à Hong Kong et aux États-Unis.
Cleafy dit que si le logiciel malveillant était auparavant distribué par le biais de campagnes de phishing par SMS utilisant un certain nombre d’applications courantes comme leurres, telles que TeaTV, VLC Media Player et des applications d’expédition comme DHL et UPS, ses chercheurs affirment que l’application malveillante Google Play agissait. en tant que « compte-gouttes » pour fournir TeaBot au moyen d’une fausse mise à jour intégrée à l’application. Les droppers sont des applications qui semblent légitimes, mais qui fournissent en fait une charge utile malveillante de deuxième étape.
L’application « QR Code & Barcode – Scanner » et supprimé depuis, a réussi à générer plus de 10 000 téléchargements au moment de sa découverte. Mais parce que l’application offre la fonctionnalité promise, presque toutes les critiques de l’application sont positives.
Bien que l’application semble légitime, elle demande immédiatement l’autorisation de télécharger une deuxième application, « QR Code Scanner : Add-On », qui comprend plusieurs échantillons de TeaBot. Une fois installé, TeaBot demande des autorisations pour afficher et contrôler l’écran de l’appareil afin de récupérer des informations sensibles telles que les identifiants de connexion, les messages SMS et à deux facteurs codes. Il abuse également du service d’accessibilité d’Android, similaire à d’autres applications Android malveillantespour demander des autorisations permettant au logiciel malveillant d’enregistrer des entrées au clavier.
« Étant donné que l’application dropper distribuée sur le Google Play Store officiel ne demande que quelques autorisations et que l’application malveillante est téléchargée ultérieurement, elle est capable de se confondre avec les applications légitimes et elle est presque indétectable par les solutions antivirus courantes », prévient Cleafy. .
TechCrunch a contacté Google pour un commentaire mais n’a pas reçu de réponse, mais l’application semble avoir été supprimée de Google Play.
Cleafy dit que TeaBot cible désormais plus de 400 applications, y compris des applications de banque à domicile, des applications d’assurance, des portefeuilles cryptographiques et des échanges cryptographiques, soit une augmentation de plus de 500 % en moins d’un an.
