Банковский троян TeaBot снова обнаружен в магазине Google Play Store, где он выдавал себя за приложение для чтения QR-кодов (QR Code & Barcode — Scanner) и успел распространиться более чем на 10 000 устройств. Малварь нацелена на пользователей более 400 банковских и финансовых приложений, в том числе из России, Китая и США.
Согласно отчету компании Cleafy, зараженные TeaBot приложения действуют как дропперы. То есть в Google Play Store они попадают без вредоносного кода и запрашивают минимальные разрешения у пользователя, так что рецензентам и автоматизированным проверкам Google трудно обнаружить что-то подозрительное. Кроме того, троянизированные приложения в самом деле работают, предоставляя обещанную функциональность, поэтому отзывы о них преимущественно положительные.
К примеру, обнаруженный в феврале QR Code & Barcode — Scanner выглядел как обычная утилита для сканирования QR-кодов. Однако после установки приложение запрашивало обновление через всплывающее сообщение, и вместо стандартной процедуры, установленной правилами Play Store, обновление загружалось из внешнего источника.
Эксперты отследили источник этих загрузок до двух репозиториев на GitHub, принадлежащих пользователю feleanicusor и содержащих несколько образцов малвари TeaBot, загруженных 17 февраля 2022 года.
Как только такое «обновление» завершается, TeaBot загружается на устройство жертвы как новое приложение QR Code Scanner: Add-On. Это приложение запускается автоматически и запрашивает права на использование Accessibility Services для выполнения работы следующих функций:
- просмотр экрана устройства и создание скришотов, на которых видны учетные данные для входа, коды двухфакторной аутентификации, содержимое SMS и так далее;
- автоматическое предоставление малвари дополнительных разрешений в фоновом режиме, которое не требует вмешательства пользователя.
Интересно, что более ранние версии TeaBot, обнаруженные в январе 2021 год и изученные специалистами Bitdefender, завершали работу, если обнаруживали, что жертва находится в США. Теперь же TeaBot атакует и пользователей из США, а также получил поддержку русского, словацкого и китайского языков, то есть малварь атакует любых пользователей, не делая исключений.
Также, по сравнению с образцами начала 2021 года, теперь малварь отличается более серьезной обфускацией, а количество ее приложений-целей возросло на 500 % — с 60 до 400. В их число входят банковские и страховые приложения, а также криптовалютные кошельки и решения об обмены криптовалюты.