Всего через пару недель после того, как мы обнаружили вредоносное ПО для Android-банкинга, известное как Xenomorph, новый отчет проливает свет на еще одного трояна удаленного доступа (RAT) для Android, известного как «TeaBot».
По данным компании по кибербезопасности Cleafy, троян TeaBot скрывался в приложении под названием «QR Code & Barcode — Scanner», которое было загружено тысячами в магазине Google Play. Вредоносное ПО TeaBot предназначено для кражи финансовых учетных данных и другой информации ничего не подозревающих пользователей с помощью текстовых сообщений (SMS), утверждает Cleafy.
К счастью, Google с тех пор удалил приложение. Тем не менее, Tom’s Guide утверждает, что компания не торопилась, чтобы удалить его. Что еще хуже, отзывы о приложении, как сообщается, были положительными на момент его удаления, что обманом заставляло невинных пользователей загружать приложение.
Вредоносное ПО TeaBot также может обходить двухфакторную аутентификацию или 2FA.
Это либо означает, что отзывы были поддельными, либо разработчики позаботились о том, чтобы приложение выглядело максимально убедительно. Более пристальный взгляд на скриншоты, которыми поделился Клифи, показывает, что это первое. Один из первых отзывов о ныне удаленном приложении явно относится к бару, а не к сканеру штрих-кода. «Этот бар великолепен с тех пор, как они снова открылись, и продолжает поддерживать высокие стандарты дезинфекции», — говорится в обзоре.
Более того, разработчик приложения называется «QR BarCode Scanner Business LLC», что вызывает несколько тревожных вопросов. Но ясно, что, несмотря на все эти предупреждающие знаки, многие пользователи стали жертвами этой вредоносной программы.
Маневры этого вредоносного приложения также могут обойти защиту 2FA, получив доступ и контроль над экраном. Это возможно, если установить поддельное обновление, содержащее TeaBot, запросив у Служб специальных возможностей разрешение на получение доступа к экрану и другим функциям устройства.
Если вы загрузили это приложение, вы можете быть в опасности
Если вы загружали это вредоносное приложение ранее, мы рекомендуем связаться с вашим банком, чтобы выявить какие-либо нарушения. Клифи сказал, что троян TeaBot в основном затронул банки и клиентов в США, Гонконге и Европе. Также пострадало несколько криптовалютных кошельков и сервисов обмена.
Теперь, когда приложение удалено из Play Store, не стоит беспокоиться о его дальнейшем распространении. Тем не менее, клиенты, у которых все еще есть приложение, по-прежнему подвержены риску. Помня об этом, мы настоятельно рекомендуем сразу же удалить это конкретное приложение с ваших устройств. Как отмечает Phone Arena, клиенты, использующие приложения для сканирования QR-кода от таких разработчиков, как Simple Design и Gamma Play, находятся в безопасности.