Potrivit BitDefender, magazinul oficial Google Play este și el vizat de campanii de malware
În ciuda numelui său, TeaBot nu este un robot care face ceai, ci un program de tip cal troian pentru Android menit să fure datele tale bancare. Nu este deloc nou, ci a circulat de anul trecut, deghizându-se ca o aplicație legitimă. Prima denumire a aplicației a fost chiar TeaTv, apoi și-a schimbat numele în MediaPlayer, devenid apoi ModbroTV, DHL, UPS și bpost. Acum a fost detectat de BitDefender și în magazinul oficial Google Play.
Cei mai mulți cred că Magazinul oficial Google Play este complet sigur de descărcat și este multiplu verificat din motive de securitate înainte de a deveni disponibil publicului. Este adevărat de cele mai multe ori, dar nu întotdeauna.
Uneori, aplicațiile rău intenționate sunt ratate de dispozitivele de securitate ale Google și rămân active în magazinele oficiale, acumulând mii de descărcări înainte de a fi observate și eliminate.
BitDefender a găsit o aplicație dropper în Google Play Store numită „QR Code Reader – Scanner App”, cu peste 100.000 de descărcări, care au fost distribuite 17 variante diferite de TeaBot pentru puțin timp. peste o luna.
Cercetătorii de securitate Bitdefender au descoperit că „Cititorul de coduri QR – Aplicația de scanare” găsit în Magazinul Google Play este probabil un dropper TeaBot puternic criptat. În doar 30 de zile, au fost demontate 17 variante ale malware-ului.
Aplicația în sine nu este rău intenționată și oferă funcționalitatea promisă, dar aceasta este o tactică cunoscută. Codul rău intenționat din aplicație are o amprentă minimă, deoarece autorii au avut grijă să nu declanșeze euristica de securitate. Calea urmată după instalare este relevantă în sine.
Când utilizatorul pornește aplicația Android, pornește și un serviciu de fundal care verifică codul de țară al operatorului înregistrat curent (sau al celulei din apropiere). Dacă țara începe cu „U” sau nu este disponibilă, aplicația omite executarea codului rău intenționat, ceea ce înseamnă că țări precum Ucraina, Uzbekistan, Uruguay și SUA sunt ignorate.
Aplicația în sine prezintă o interfață de utilizare falsă care spune că este necesară o actualizare, iar utilizatorii sunt instruiți să permită aplicației Android să instaleze pachete terțe.
Cercetătorii de securitate Bitdefender au descoperit, de asemenea, unul dintre modalitățile prin care această aplicație reușește să se răspândească prin baza de utilizatori. Victimele probabil văd un anunț pentru această aplicație rău intenționată în alte aplicații Android legitime și îl instalează prin acel vector. Atacatorii plătesc pentru a apărea în Google Ads, oferindu-le timp pe ecran într-o aplicație care ar putea avea milioane de utilizatori.
BitDefender a identificat la timp și a inactivat aceste aplicații.