Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 2. marts 2022 | Emne: Sikkerhed
TeaBot Remote Access Trojan (RAT) er blevet opgraderet, hvilket fører til en enorm stigning i både mål og spredning over hele verden.
Den 1. marts sagde Cleafy-forskerholdet, at TeaBot nu målretter mod over 400 applikationer, der drejer sig fra et tidligere fokus på “smishing” til mere avanceret taktik.
Smishing-angreb bruges til at kompromittere mobiltelefoner via spam-tekstbeskeder, der indeholder ondsindede links. Det er ofte tilfældet, at disse links – f.eks. udgiver sig for at være fra din bank, sociale medier eller et leveringsfirma – vil føre ofre til svigagtige websteder, der anmoder om deres personlige data og kontooplysninger.
Da TeaBot dukkede op i begyndelsen af 2021, blev malwaren, også kendt som Toddler/Anatsa, distribueret via smishing og havde en liste med kun 60 lokker, inklusive TeaTV, VLC Media Player, DHL og UPS .
Yderligere forskning udført af PRODAFT i juli 2021 viste, at selvom TeaBot var blevet konfigureret til at ramme “snesevis” af europæiske banker, blev vellykkede angreb sporet til 18 finansielle organisationer.
På det tidspunkt var 90 % af TeaBot-infektionerne kun forbundet med fem af disse virksomheder, hvilket førte til, at forskerne havde mistanke om, at en vellykket SMS-baseret phishing-kampagne var ansvarlig.
TeaBot er migreret fra Europa til at omfatte nye lande, såsom Rusland, USA og Hong Kong, og bruger en udvidet målliste ud over onlinetjenester – banker, kryptovalutabørser og digitale forsikringsudbydere er bliver nu også efterlignet i phishing-forsøg.
Cleafy
Risikostyringsfirmaet Cleafy siger, at malwaren også har formået at infiltrere officielle Android-depoter gennem dropper-apps.
I prøver indhentet i februar af virksomheden, blev en app udgivet til Google Play, “QR Code & Barcode Scanner” fundet til at betjene TeaBot til brugere gennem en falsk opdatering.
Der er en fælles taktik blandt malware-udviklere: udgiv en legitim applikation til et officielt applager, ryd eksisterende sikkerhedstjek, og når der er etableret en stor brugerbase – i dette tilfælde over 10.000 personer – så implementer en opdatering, der gør softwaren skadelig.
I TeaBots tilfælde vil den falske opdatering/dropper anmode om tilladelse til at downloade en anden applikation, “QR Code Scanner: Add-On”, der indeholder RAT.
Cleafy
Denne app er downloadet fra et af to GitHub-lagre, der ejes af den samme udvikler.
Når den er installeret, vil TeaBot først misbruge Android OS' tilgængelighedstjenester og anmode om tilladelser, der tillader malwaren at udføre aktiviteter, herunder keylogging og fjernkapring af enheder.
Desuden vil TeaBot tage skærmbilleder og overvåge håndsættets skærm for at stjæle legitimationsoplysninger, inklusive kontooplysninger og to-faktor autentificering (2FA) koder.
“Da dropper-applikationen, der er distribueret i den officielle Google Play Butik, kun anmoder om nogle få tilladelser, og den ondsindede app downloades på et senere tidspunkt, er den i stand til at blive forvirret blandt legitime applikationer, og den er næsten uopdagelig af almindelige AV-løsninger,” advarer Cleafy.
ZDNet har kontaktet Google, og vi opdaterer, når vi hører tilbage.
Tidligere og relateret dækning
Ukraine beder kryptovalutafirmaer om at blokere russiske brugere
Ukraines sikkerhedsbureauer advarer om Ghostwriter-trusselsaktivitet, phishing-kampagner
Store teleselskaber, herunder o2, Orange, Vodafone giver afkald på gebyrer til Ukraine-opkald, data
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Google | Sikkerheds-tv | Datastyring | CXO | Datacentre