برنامج TeaBot الضار يتسلل إلى متجر Google Play مرة أخرى
تم العثور على حصان طروادة المصرفي TeaBot مرة أخرى في متجر Google Play, حيث تم طرحه كقارئ رمز الاستجابة السريعة (رمز الاستجابة السريعة & الباركود – الماسح الضوئي) وتمكنت من الانتشار إلى أكثر من 10,000 الأجهزة. تستهدف البرامج الضارة مستخدمي أكثر من 400 التطبيقات المصرفية والمالية, بما في ذلك تلك القادمة من روسيا, الصين, والولايات المتحدة.
وفقا ل تقرير من كلافي, TeaBot-تعمل التطبيقات المصابة كقطارات. إنه, يصلون إلى متجر جوجل بلاى بدون تعليمات برمجية ضارة وطلب الحد الأدنى من الأذونات من المستخدم, بحيث يصعب على المراجعين وعمليات التحقق الآلية من Google اكتشاف أي شيء مريب.
فضلاً عن ذلك, التطبيقات طروادة تعمل فعلا, تقديم الوظائف الموعودة, لذا فإن المراجعات المتعلقة بهم إيجابية في الغالب.
على سبيل المثال, رمز الاستجابة السريعة & ماسح الباركود الذي تم اكتشافه في فبراير, بدا وكأنه أداة مساعدة عادية لمسح رموز QR. لكن, بمجرد تثبيتها, طلب التطبيق تحديثًا عبر رسالة منبثقة, وبدلاً من الإجراء القياسي الذي تحدده قواعد متجر Play, تم تنزيل التحديث من مصدر خارجي.
وتتبع الخبراء مصدر هذه التنزيلات إلى اثنين جيثب المستودعات المملوكة للمستخدم felanicusor وتحتوي على عدة عينات من البرنامج الضار TeaBot, تم الرفع في فبراير 17, 2022.
مخطط الهجوم
مرة واحدة هذا “تحديث” اكتمل, يتم تنزيل TeaBot على جهاز الضحية باعتباره ماسحًا ضوئيًا جديدًا لرمز QR: تطبيق الوظيفة الإضافية. يبدأ تشغيل هذا التطبيق تلقائيًا ويطلب حقوق استخدام خدمات إمكانية الوصول لأداء الوظائف التالية:
- عرض شاشة الجهاز وإنشاء لقطات شاشة تعرض بيانات اعتماد تسجيل الدخول, رموز المصادقة الثنائية, محتوى الرسائل القصيرة, وما إلى ذلك وهلم جرا;
- منح أذونات إضافية تلقائيًا للبرامج الضارة في الخلفية, والتي لا تتطلب تدخل المستخدم.
ومن المثير للاهتمام, الإصدارات السابقة من TeaBot, اكتشف في يناير 2021 ودرس بها بيتدفندر, تم الخروج إذا اكتشفوا أن الضحية كان في الولايات المتحدة. الآن يهاجم TeaBot أيضًا المستخدمين من الولايات المتحدة, وحصل أيضًا على دعم للغة الروسية, اللغات السلوفاكية والصينية, إنه, تهاجم البرامج الضارة أي مستخدم دون إجراء استثناءات.
دعني أذكرك أننا كتبنا ذلك أيضًا اكتشف الخبراء زينومورف البرمجيات الخبيثة في متجر Google Play, وذلك مجردةEmu تعمل البرامج الضارة التي تعمل بنظام Android على "جذور" الهواتف الذكية وتتجنب اكتشافها.