Suçlular, kimlikleri ve iki faktörlü kimlik doğrulama kodlarını çalmak amacıyla muhtemelen binlerce cihaza bulaşan bir bankacılık Truva atını Google Play Store’da başarıyla gizlemeyi başardılar.
Güvenlik firmasından yeni rapor açık Bazen Anatsa veya Toddler olarak adlandırılan TeaBot bankacılık truva atının, görünüşte meşru bir uygulamadan ikinci aşama bir yük olarak dağıtıldığını buldu.
Ekip, bunun “QR Code & Barcode – Scanner” adlı kötü amaçlı olmayan, tam işlevli bir uygulamanın güncellemesi olarak dağıtıldığını tespit etti. Uygulama amaçlandığı gibi çalışıyor – barkodları ve QR kodlarını düzgün bir şekilde tarıyor ve bu nedenle Play Store’da çok sayıda olumlu eleştiri aldı.
Yükün teslim edilmesi
Ancak kurulur kurulmaz, yayına göre “çoklu TeaBot örnekleri” içeren “QR Kod Tarayıcı: Eklenti” adlı ikinci bir uygulamayı indirmek için izin ister.
Uygulamanın gerçekte ne olduğu keşfedilmeden ve uygulama mağazasından kaldırılmadan önce 10.000’den fazla kez indirildi.
Bir kurban “eklentiyi” indirdiğinde, TeaBot uç noktanın ekranını görüntülemek ve kontrol etmek için izinler isteyecek ve izin verilirse – oturum açma kimlik bilgilerini, SMS mesajlarını veya iki faktörlü kimlik doğrulama kodlarını çekmek için gücü kullanacak. Ayrıca, Android erişilebilirlik hizmetlerini kötüye kullanarak tuş vuruşlarını kaydetmek için erişim sağlar.
Cleafy, “Resmi Google Play Store’da dağıtılan dropper uygulaması yalnızca birkaç izin istediğinden ve kötü amaçlı uygulama daha sonra indirildiğinden, meşru uygulamalar arasında karıştırılabiliyor ve yaygın antivirüs çözümleri tarafından neredeyse algılanamıyor” dedi. .
Google, bulgular hakkında yorum yapmazken uygulamayı mağazadan kaldırdı.
TeaBot ilk olarak geçen yıl Mayıs ayında SMS yoluyla gönderilen iki faktörlü kodları çalarak Avrupa bankalarını hedef aldığında görüldü. Cleafy, bu sefer Rusya, Hong Kong ve ABD’deki kullanıcıları hedeflediğini söylüyor.
Üzerinden: TechCrunch
