Un cheval de Troie bancaire Android conçu pour voler des informations d’identification et des SMS a de nouveau été observé en train de contourner les protections de Google Play Store pour cibler les utilisateurs de plus de 400 applications bancaires et financières, y compris celles de Russie, de Chine et des États-Unis.
« Les capacités de TeaBot RAT sont obtenues via la diffusion en direct de l’écran de l’appareil (demandée à la demande) ainsi que l’abus des services d’accessibilité pour l’interaction à distance et l’enregistrement des touches », ont déclaré les chercheurs de Cleafy. mentionné dans un rapport. « Cela permet aux Threat Actors (TAs) d’effectuer une ATO (Account Takeover) directement à partir du téléphone compromis, également connu sous le nom de « fraude sur l’appareil ». »
Également connu sous le nom d’Anatsa, TeaBot est apparu pour la première fois en mai 2021, camouflant ses fonctions malveillantes en se faisant passer pour des applications de numérisation de documents PDF et de codes QR apparemment inoffensives qui sont distribuées via le Google Play Store officiel au lieu de magasins d’applications tiers ou via des sites Web frauduleux. .
Ces applications, également connues sous le nom d’applications dropper, agissent comme un conduit pour fournir une charge utile de deuxième étape qui récupère la souche de logiciels malveillants pour prendre le contrôle des appareils infectés. En novembre 2021, la société de sécurité néerlandaise ThreatFabric a révélé qu’elle avait identifié six compte-gouttes Anatsa sur le Play Store depuis juin de l’année dernière.
Plus tôt en janvier, les chercheurs de Bitdefender ont identifié TeaBot qui se cache sur le marché officiel des applications Android comme un « lecteur de code QR – application scanner », gagnant plus de 100 000 téléchargements en l’espace d’un mois avant son retrait.
La dernière version du compte-gouttes TeaBot repérée par Cleafy le 21 février 2022 est également une application de lecteur de code QR nommée « QR Code & Barcode – Scanner » qui a été téléchargée environ 10 000 fois sur le Play Store.
Une fois installé, le mode opératoire est le même : inviter les utilisateurs à accepter une fausse mise à jour de module complémentaire, ce qui, à son tour, conduit à l’installation d’une deuxième application hébergée sur GitHub qui contient en fait le malware TeaBot. Il convient toutefois de noter que les utilisateurs doivent autoriser les installations à partir de sources inconnues pour que cette chaîne d’attaque réussisse.
La dernière phase de l’infection implique que le cheval de Troie bancaire recherche les autorisations des services d’accessibilité pour capturer des informations sensibles telles que les identifiants de connexion et les codes d’authentification à deux facteurs dans le but de prendre en charge les comptes pour effectuer une fraude sur l’appareil.
« En moins d’un an, le nombre d’applications ciblées par TeaBot a augmenté de plus de 500 %, passant de 60 cibles à plus de 400 », ont déclaré les chercheurs, ajoutant que le malware frappe désormais plusieurs applications liées aux services bancaires personnels, aux assurances et aux portefeuilles cryptographiques. , et les échanges cryptographiques.