TeaBot bankacılık truva atı, bir QR kod uygulaması olarak ortaya çıktığı ve 10.000’den fazla cihaza yayıldığı Google Play Store’da bir kez daha görüldü.
Bu, dağıtımcılarının daha önce Ocak ayında kullandığı bir numara ve Google bu girişleri devre dışı bırakmış olsa da, kötü amaçlı yazılımın resmi Android uygulama deposuna girmenin bir yolunu bulabileceği görülüyor.
Buna göre Cleafy’den bir rapor, bir çevrimiçi dolandırıcılık yönetimi ve önleme şirketi, bu uygulamalar damlatıcı olarak hareket ediyor. Kötü amaçlı kod olmadan gönderilirler ve minimum izinler isterler, bu da Google’ın gözden geçirenlerinin şüpheli herhangi bir şeyi tespit etmesini zorlaştırır.
Ayrıca, truva atlı uygulamalar vaat edilen işlevselliği içerir, bu nedenle Play Store’daki kullanıcı incelemeleri olumludur.
TeaBot yükünü alma
Şubat ayında araştırmacılar, TeaBot’un meşru bir QR kod tarama aracı olarak görünen ‘QR Code & Barcode – Scanner’ adlı bir uygulama olarak ortaya çıktığını buldu.
Yüklemenin ardından, uygulama bir açılır mesaj yoluyla bir güncelleme ister, ancak Play Store yönergelerinin dayattığı standart prosedürün aksine, güncelleme harici bir kaynaktan alınır.
Cleafy, indirme kaynağının izini, 17 Şubat 2022’de yüklenen birden fazla TeaBot örneğini içeren aynı kullanıcıya (feleanicusor) ait iki GitHub deposuna kadar takip etti.
Kurban, güvenilmeyen kaynaklardan güncellemeyi yüklemeyi kabul ettiğinde, TeaBot cihazına ‘QR Kod Tarayıcı: Eklenti’ adı altında yeni bir uygulama olarak yüklenir.
Yeni uygulama otomatik olarak başlatılır ve kullanıcıdan Erişilebilirlik Hizmetlerini kullanma ve aşağıdaki işlevleri gerçekleştirme izni vermesini ister:
- Cihazın ekranını görüntüleyin ve oturum açma kimlik bilgilerini, 2FA kodlarını, SMS içeriğini vb. ortaya çıkaran ekran görüntülerini alın.
- Herhangi bir kullanıcı etkileşimi gerektirmeden arka planda otomatik olarak ek izinler verme gibi eylemleri gerçekleştirin.
Google bazılarını tanıttı güvenlik odaklı API değişiklikleri Android 12’deki Erişilebilirlik Hizmeti için, ancak bu, en sık suistimal edilen izin bankacılık truva atları tarafından. Sonuçta, çoğu Android telefon hala OS sürüm 11 veya daha eskisini çalıştırıyor.
Genişletilmiş hedefleme kapsamı
Play Store’da dolaşan sürümlerde Ocak 2021’deBitdefender tarafından analiz edilen TeaBot, Amerika Birleşik Devletleri’nde kurban konumu tespit ederse çıktı.
Şimdi, TeaBot ABD’deki kullanıcıları aktif olarak hedefliyor ve ayrıca kötü amaçlı yazılımın küresel bir kurban havuzuna baktığını gösteren Rusça, Slovakça ve Çince dillerini de ekledi.
Muhtemelen TeaBot operatörleri, daha küçük pazarlarda bir “test” döneminden geçtikten sonra aletlerinin daha büyük ölçekli operasyonlar için hazır olduğunu hissediyorlar.
2021 başlarındaki örneklerle karşılaştırıldığında, kötü amaçlı yazılım artık daha güçlü dize gizleme özelliğine sahip ve bankacılık, sigorta, kripto cüzdanı ve kripto değişim uygulamalarını %500 daha fazla (60’tan 400’e) hedefliyor.
Play Store’u özel uygulama kaynağınız olarak kullanırken bile bankacılık truva atlarından bulaşma olasılığını en aza indirmek için cihazınızda yüklü uygulamaların sayısını minimumda tutun.
Ayrıca, cihazınıza yeni bir uygulama yüklediğinizde, şüpheli kalıpları tespit etmek için ilk birkaç gün boyunca pil tüketimini ve ağ trafiği hacmini izleyin.