Ein berüchtigter Android-Banking-Trojaner, der Benutzerdaten wie Passwörter und Textnachrichten stehlen soll, wurde in Google Play entdeckt und tausende Male heruntergeladen.
Der Banking-Trojaner TeaBot, auch bekannt als Anatsa und Toddler, wurde erstmals im Mai 2021 beobachtet, als er auf europäische Banken abzielte, indem er per SMS gesendete Zwei-Faktor-Authentifizierungscodes stahl. EIN neuer Bericht von Cleafyeine Online-Betrugsmanagement- und -präventionslösung, sagt jetzt, dass sich die Malware so weiterentwickelt hat, dass sie die Verbreitung über eine bösartige Nutzlast der zweiten Stufe umfasst und nun auf Benutzer in Russland, Hongkong und den Vereinigten Staaten abzielt.
Laut Cleafy wurde die Malware zwar zuvor über SMS-basierte Phishing-Kampagnen verbreitet, die eine Reihe gängiger Apps als Köder verwendeten, wie TeaTV, VLC Media Player und Versand-Apps wie DHL und UPS, aber seine Forscher sagen, dass die bösartige Google Play-App handelte als „Dropper“, um TeaBot über ein gefälschtes In-App-Update bereitzustellen. Dropper sind Apps, die legitim erscheinen, aber tatsächlich eine bösartige Nutzlast der zweiten Stufe liefern.
Die App „QR Code & Barcode – Scanner“ und seitdem entfernt, schaffte es, bis zu seiner Entdeckung mehr als 10.000 Downloads zu erzielen. Da die App aber die versprochene Funktionalität bietet, fallen fast alle Bewertungen der App positiv aus.
Obwohl die App legitim aussieht, bittet sie sofort um Erlaubnis, eine zweite Anwendung herunterzuladen, „QR Code Scanner: Add-On“, die mehrere TeaBot-Beispiele enthält. Nach der Installation fragt TeaBot nach Berechtigungen zum Anzeigen und Steuern des Gerätebildschirms, um vertrauliche Informationen wie Anmeldeinformationen, SMS-Nachrichten und Zwei-Faktor-Codes abzurufen. Es missbraucht auch den Zugriffsdienst von Android, ähnlich wie andere bösartige Android-Apps, um Berechtigungen anzufordern, die es der Malware ermöglichen, Tastatureingaben aufzuzeichnen.
„Da die Dropper-Anwendung, die im offiziellen Google Play Store vertrieben wird, nur wenige Berechtigungen anfordert und die schädliche App zu einem späteren Zeitpunkt heruntergeladen wird, kann sie mit legitimen Anwendungen verwechselt werden und ist für gängige Antivirenlösungen fast nicht erkennbar“, warnt Cleafy .
Tech hat Google um einen Kommentar gebeten, aber keine Antwort erhalten, aber die App scheint aus Google Play entfernt worden zu sein.
Laut Cleafy zielt TeaBot jetzt auf über 400 Anwendungen ab, darunter Homebanking-Apps, Versicherungs-Apps, Krypto-Geldbörsen und Krypto-Börsen, eine Steigerung von mehr als 500 % in weniger als einem Jahr.