Вредоносная программа из магазина Google, которую скачали 10 тысяч раз, незаметно ставит троян удалённого доступа. Он крадёт пароли, переписку и прочие данные, предупреждает Arstechnica.
Троян с названиями TeaBot и Anatsa впервые нашли в прошлом мае. Он был в стриминговых приложениях и применял специальные возможности Android. Это позволяло удалённо просматривать экраны устройств и взаимодействовать с ними. Тогда TeaBot был нацелен на кражу данных из заданного списка приложений примерно 60 банков по всему миру.
Во вторник фирма Cleafy сообщила, что TeaBot появился снова, теперь в составе программы QR Code & Barcode Scanner. Google была уведомлена об этом и удалила приложение из магазина.
Главным отличием новой версии является расширение числа попавших в прицел программ. Среди них банковские и страховые приложения, криптокошельки и криптовалютные биржи. За прошедшее время количество целевых приложений выросло с 60 до более чем 400.
TeaBot получил поддержку дополнительных языков, включая русский, словацкий и китайский. На них он умеет показывать сообщения на инфицированных устройствах. Вредоносное приложение определили только два антивируса. Во всех отзывах в магазине приложение описывалось как безопасное.
После установки оно показывало всплывающее окно, говорящее о наличии обновления. Обновление доступно не через Google Play, а из двух созданных пользователем под ником feleanicusor репозиториев GitHub. Оттуда и ставится TeaBot. Цепочка заражения показана ниже.
После установки программа запрашивает разрешения на доступ к экрану просмотра и управления для получения личной информации, такой как логины и пароли, СМС, коды 2FA. Запрос на просмотр и выполнение действий используется для выдачи различного рода разрешений. Естественно, давать эти разрешения не нужно.