Un cheval de Troie bancaire Android conçu pour voler des informations d’identification et des messages SMS a de nouveau été observé en train de contourner les protections de Google Play Store pour cibler les utilisateurs de plus de 400 applications bancaires et financières, y compris celles de Russie, de Chine et des États-Unis.

« Les capacités de TeaBot RAT sont obtenues via la diffusion en direct de l’écran de l’appareil (demandée à la demande) ainsi que l’abus des services d’accessibilité pour l’interaction à distance et l’enregistrement des touches », ont déclaré les chercheurs de Cleafy dans un rapport. « Cela permet aux Threat Actors (TAs) d’effectuer une ATO (Account Takeover) directement à partir du téléphone compromis, également connu sous le nom de « fraude sur l’appareil ». »

Également connu sous le nom d’Anatsa, TeaBot est apparu pour la première fois en mai 2021, camouflant ses fonctions malveillantes en se faisant passer pour des applications de scanner de documents PDF et de codes QR apparemment inoffensives qui sont distribuées via le Google Play Store officiel au lieu de magasins d’applications tiers ou via des sites Web frauduleux. .

Ces applications, également connues sous le nom d’applications dropper, agissent comme un conduit pour fournir une charge utile de deuxième étape qui récupère la souche de logiciels malveillants pour prendre le contrôle des appareils infectés. En novembre 2021, la société de sécurité néerlandaise ThreatFabric a révélé qu’elle avait identifié six compte-gouttes Anatsa sur le Play Store depuis juin de l’année dernière.

Plus tôt en janvier, les chercheurs de Bitdefender ont identifié TeaBot qui se cache sur le marché officiel des applications Android comme un « lecteur de code QR – application scanner », gagnant plus de 100 000 téléchargements en l’espace d’un mois avant son retrait.

The latest version of TeaBot dropper spotted by Cleafy on February 21, 2022, is also a QR code reader app named « QR Code & Barcode – Scanner » which has been downloaded roughly 10,000 times from the Play Store.

Once installed, the modus operandi is the same: prompt users to accept a fake add-on update, which, in turn, leads to the installation of a second app hosted on GitHub that actually contains the TeaBot malware. It’s, however, worth noting that users need to allow installs from unknown sources for this attack chain to be successful.

The last phase of the infection involves the banking trojan seeking Accessibility Services permissions to capture sensitive information like login credentials and two-factor authentication codes with the goal of taking over the accounts to carry out on-device fraud.

« In less than a year, the number of applications targeted by TeaBot have grown more than 500%, going from 60 targets to over 400, » the researchers said, adding the malware now strikes several apps related to personal banking, insurance, crypto wallets, and crypto exchanges.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *