Le malware TeaBot revient dans Google Play Store pour cibler les utilisateurs américains

  • Principal
  • Nouvelles
  • Le malware TeaBot revient dans Google Play Store pour cibler les utilisateurs américains

Le cheval de Troie bancaire TeaBot a de nouveau été détecté sur le Google Play Store, où il s'est fait passer pour une application de code QR et s'est propagé à plus de 10 000 appareils.

C'est une astuce que ses distributeurs utilisaient auparavant, en janvier, et même si Google a supprimé ces entrées, il semble que les logiciels malveillants puissent toujours trouver un moyen d'accéder au référentiel officiel des applications Android.

Selon un rapport de Cleafy, une société de prévention et de gestion de la fraude en ligne, ces applications agissent comme des compte-gouttes. Ils sont livrés sans code malveillant et demandent des autorisations minimales, ce qui rend difficile pour les examinateurs de Google de repérer tout élément suspect.

De plus, les applications trojanisées incluent la fonctionnalité promise, c'est pourquoi les avis des utilisateurs sur le Play Store sont positifs.

TeaBot Obtenir l'application sur Play Store

TeaBot Obtenir l'application sur Play Store (Choja)

Obtenir la charge utile de TeaBot

En février, des chercheurs ont découvert que TeaBot se faisait passer pour une application appelée 'QR Code & Barcode Scanner', apparaissant comme un utilitaire légitime de numérisation de code QR.

Lors de l'installation, l'application demande une mise à jour via un message contextuel, mais contrairement à la procédure standard imposée par les directives du Play Store, la mise à jour est obtenue à partir d'une source externe.

Cleafy a retracé la source de téléchargement vers deux référentiels GitHub appartenant au même utilisateur (feleanicusor), contenant plusieurs échantillons TeaBot, téléchargés le 17 février 2022.

Processus de téléchargement et d'infection de TeaBot

Processus de téléchargement et d'infection de TeaBot (Choja)

Une fois que la victime accepte d'installer la mise à jour à partir de sources non fiables, TeaBot se charge sur son appareil en tant que nouvelle application nommée « QR Code Scanner : Plugin ».

La nouvelle application démarre automatiquement et invite l'utilisateur à accorder l'autorisation d'utiliser les services d'accessibilité, pour exécuter les fonctions suivantes :

  • Affichez l'écran de l'appareil et prenez des captures d'écran exposant les identifiants de connexion, les codes 2FA, le contenu SMS, etc.
  • Effectuez des actions telles que l'octroi automatique d'autorisations supplémentaires en arrière-plan sans intervention de l'utilisateur.

Abus des services d'accessibilité (Choja)

Google a apporté des modifications à l'API liées à la sécurité pour le service d'accessibilité dans Android 12, mais il s'agit toujours de l'autorisation la plus utilisée par les chevaux de Troie bancaires. Après tout, la plupart des téléphones Android exécutent toujours la version 11 ou antérieure du système d'exploitation.

Portée de ciblage étendue

Dans les versions qui ont circulé sur le Play Store en janvier 2021, analysées par Bitdefender, TeaBot sortait s'il détectait la localisation de la victime aux États-Unis.

Désormais, TeaBot cible activement les utilisateurs aux États-Unis et a également ajouté les langues russe, slovaque et chinoise, indiquant que le logiciel malveillant cible un groupe mondial de victimes.

Nouvelles langues ajoutées dans le code TeaBot (Choja)

Il est possible que les commerçants de TeaBot aient maintenant le sentiment que leur outil est prêt pour des opérations à plus grande échelle, après avoir traversé une période d'essai sur des marchés plus petits.

Heatmap de la victime actuelle de TeaBot (Choja)

Par rapport aux échantillons du début 2021, le logiciel malveillant présente désormais une obfuscation de chaîne plus forte et cible 500 % de plus (de 60 à 400) applications bancaires, d'assurance, de portefeuille crypto et d'échange crypto.

Pour minimiser les risques d'infection par des chevaux de Troie bancaires, même lorsque vous utilisez le Play Store comme source exclusive d'applications, limitez au minimum le nombre d'applications installées sur votre appareil.

De plus, chaque fois que vous installez une nouvelle application sur votre appareil, surveillez la consommation de la batterie et le volume du trafic réseau pendant les premiers jours pour détecter les modèles suspects.

Qu'est-ce que tu penses?