Der berüchtigte TeaBot-Trojaner ist zurück im Google Play Store, nachdem er es geschafft hat, die Sicherheitsmaßnahmen von Google zu umgehen. TeaBot ist ein bekannter Trojaner, der SMS-Nachrichten und Anmeldeinformationen abfangen kann, sodass Malware-Betreiber auf E-Mails, soziale Medien und sogar Bankkonten zugreifen / diese stehlen können. Der Trojaner selbst ist nichts Ungewöhnliches, da alle seine Funktionen ziemlich Standard sind. Was TeaBot auszeichnet, sind seine Verteilungsmethoden. Anstatt sich über die üblichen Methoden wie E-Mails, Textnachrichten, bösartige Websites usw. zu verbreiten, ist TeaBot dafür bekannt, sich über Dropper-Apps zu verbreiten. Diese Apps werden so gestaltet, dass sie legitim erscheinen, nur um eine bösartige Nutzlast einmal auf einem Gerät bereitzustellen.
Dropper-Apps wie TeaBot sind normalerweise als Utility-Apps wie PDF-Reader, Taschenlampen, QR-Code-Scanner usw. getarnt. Benutzer, die solche Tools herunterladen, haben es in der Regel eilig und nehmen sich nicht die Zeit, in Bewertungen zu schauen. Darüber hinaus gelten App-Stores wie Google Play im Allgemeinen als sichere Orte, um Apps zu erhalten, so dass Benutzer ihre Wachsamkeit aufgeben. Leider sind einige böswillige Akteure jedoch in der Lage, alle Sicherheitsmaßnahmen zu umgehen und ihre Malware-Apps in den App Stores aufzulisten. Diesmal wurde der TeaBot-Trojaner als QR-Code- und Barcode-Scanner-App getarnt entdeckt und konnte mehr als 10.000 Geräte infizieren. Interessanterweise liefert die bösartige App tatsächlich die versprochenen Funktionen. Dies ermöglicht es dem Trojaner, für eine lange Zeit installiert zu bleiben, da Benutzer nicht versuchen werden, ihn loszuwerden, da er wie versprochen funktioniert.
Der Google Play Store verfügt über zahlreiche Sicherheitsmaßnahmen, die verhindern, dass bösartige Apps im App Store aufgeführt werden. Zu diesen Sicherheitsmaßnahmen gehören regelmäßige Scans auf jede Art von bösartigem Verhalten durch Apps im Store. Hin und wieder schafft es eine Dropper-App jedoch, bei Google Play abgehört zu werden. Die Sache mit TeaBot-Dropper-Apps ist, dass sie nicht direkt bösartig sind. Es gibt nichts, was die Sicherheitsmaßnahmen von Google Play auslöst, da die bösartige Nutzlast erst ausgeliefert wird, nachdem sich die App bereits auf dem Gerät befindet. Wenn Benutzer die App herunterladen, werden sie aufgefordert, ein Softwareupdate herunterzuladen, auch bekannt als die bösartige Nutzlast. Der Trojaner versucht dann, Accessibility Services-Berechtigungen zu erhalten. Benutzer müssen der App manuell die Berechtigung erteilen. Wenn sie die Berechtigungsliste lesen würden, sollte dies Verdacht erregen, aber viele Benutzer eilen durch diese Schritte. Sobald die Nutzlast abgelegt und ausgeführt wurde, können die böswilligen Akteure dahinter Remote-Zugriff auf das Gerät des Opfers erhalten. Letztendlich ist die bösartige App hinter sensiblen Informationen her, hauptsächlich Anmeldeinformationen und Zwei-Faktor-Authentifizierungstools. Der Erwerb dieser Art von Informationen würde es Malware-Betreibern ermöglichen, auf verschiedene sensible Konten zuzugreifen, ohne dass die Benutzer es überhaupt bemerken, bis es zu spät ist.
Im Allgemeinen wird immer noch empfohlen, nur Apps aus offiziellen App-Stores herunterzuladen. Da einige Apps jedoch in der Lage sind, die Sicherheit zu umgehen, sollten Benutzer dennoch besonders vorsichtig sein, insbesondere beim Herunterladen von Dienstprogramm-Apps. Es ist eine gute Idee, den Entwickler zu überprüfen, die Bewertungen zu lesen, die Berechtigungen zu überprüfen usw. Wenn ein PDF-Reader Zugriff auf SMS anfordert, stimmt etwas nicht.