Ursprünglich wurde TeaBot über Smishing-Kampagnen mit einer vordefinierten Liste von Ködern wie TeaTV, VLC Media Player, DHL und UPS und anderen verbreitet, so der Anbieter von Online-Betrugsmanagement- und Präventionslösungen Cleaf.„In den letzten Monaten haben wir eine große Zunahme von Zielen festgestellt, die jetzt mehr als 400 Anträge zählen, darunter Banken, Krypto Börsen/Geldbörsen und digitale Versicherungen sowie neue Länder wie Russland, Hongkong und die USA“, informierten die Forscher.In den letzten Monaten hat TeaBot auch damit begonnen, neue Sprachen wie Russisch, Slowakisch und Mandarin-Chinesisch zu unterstützen, die für die Anzeige benutzerdefinierter Nachrichten während der Installationsphasen nützlich sind.Am 21. Februar entdeckte das Team von Cleafy Threat Intelligence and Incident Response (TIR) eine auf dem Beamten veröffentlichte Anwendung Google Spielladendie als Dropper-Anwendung fungierte und TeaBot mit einem gefälschten Update-Verfahren auslieferte.„Der Dropper steckt hinter einem gängigen QR-Code- und Barcode-Scanner und wurde mehr als 10.000 Mal heruntergeladen. Alle Bewertungen zeigen die App als legitim und gut funktionierend an“, stellte das Team fest.Nach dem Herunterladen fordert der Dropper jedoch sofort eine Aktualisierung über eine Popup-Nachricht an.Im Gegensatz zu legitimen Apps, die die Updates über den offiziellen Google Play Store durchführen, fordert die Dropper-Anwendung zum Herunterladen und Installieren einer zweiten Anwendung auf.Diese Anwendung wurde als TeaBot erkannt.TeaBot, das sich als „QR Code Scanner: Add-On“ ausgibt, wird von zwei spezifischen GitHub-Repositories heruntergeladen.Sobald die Benutzer akzeptieren, das gefälschte „Update“ herunterzuladen und auszuführen, startet TeaBot seinen Installationsprozess, indem es die Berechtigungen der „Barrierefreiheitsdienste“ anfordert, um die erforderlichen Berechtigungen zu erhalten.Einer der größten Unterschiede im Vergleich zu den im Mai 2021 entdeckten Proben ist die Zunahme gezielter Anwendungen, zu denen jetzt Homebanking-Anwendungen, Versicherungsanwendungen, Krypto-Wallets und Krypto-Börsen gehören.„In weniger als einem Jahr ist die Zahl der Anwendungen, auf die TeaBot abzielt, um mehr als 500 Prozent gestiegen, von 60 Zielen auf über 400“, sagte das Team.Google Play wollte den Bericht noch nicht kommentieren.
Android-Malware im Google Play Store, die Benutzerdaten und SMS-Texte stiehlt
Ein gefährliches Android-Banking Malware das die Zugangsdaten und SMS-Nachrichten des Opfers stiehlt, wurde tausende Male über heruntergeladen Google Play Storehaben Forscher gewarnt.Es heißt „TeaBot“ und ist ein Android-Banking-Trojaner, der erstmals Anfang 2021 auftauchte und darauf ausgelegt war, die Textnachrichten des Opfers zu stehlen.