Pahamaineinen TeaBot-troijalainen on palannut Google Play -kauppaan onnistuttuaan ohittamaan Googlen turvatoimet. TeaBot on tunnettu troijalainen, joka voi siepata tekstiviestejä ja kirjautumistietoja, jolloin haittaohjelmaoperaattorit voivat käyttää / varastaa sähköpostia, sosiaalista mediaa ja jopa pankkitilejä. Troijalainen itse ei ole mitään epätavallista, koska kaikki sen ominaisuudet ovat melko vakio. TeaBot erottuu edukseen jakelumenetelmillään. Sen sijaan, että TeaBot leviäisi tavallisilla menetelmillä, kuten sähköposteilla, tekstiviesteillä, haitallisilla verkkosivustoilla jne., TeaBotin tiedetään leviävän dropper-sovelluksilla. Nämä sovellukset on tehty näyttämään laillisilta vain haitallisen hyötykuorman toimittamiseksi kerran laitteessa.

TeaBot trojan distributed via Google Play once again

Dropper-sovellukset, kuten TeaBot, on yleensä naamioitu apusovelluksiksi, kuten PDF-lukijat, taskulamput, QR-koodiskannerit jne. Käyttäjät, jotka lataavat tällaisia työkaluja, ovat yleensä kiireisiä eivätkä vie aikaa tarkastella arvosteluja. Lisäksi Google Playn kaltaisia sovelluskauppoja pidetään yleensä turvallisina paikoina saada sovelluksia, joten käyttäjät antavat suojautua. Mutta valitettavasti jotkut haitalliset toimijat pystyvät ohittamaan kaikki turvatoimet ja saamaan haittaohjelmasovelluksensa sovelluskauppojen luetteloon. Tällä kertaa TeaBot-troijalainen havaittiin naamioituneena QR-koodi- ja viivakoodinlukijasovellukseksi ja pystyi tartuttamaan yli 10 000 laitetta. Mielenkiintoista on, että haitallinen sovellus todella toimittaa luvatut ominaisuudet. Tämä antaa troijalaiselle mahdollisuuden pysyä asennettuna pitkään, koska käyttäjät eivät yritä päästä eroon siitä, koska se toimii luvatulla tavalla.

Google Play -kaupassa on käytössä lukuisia turvatoimia, jotka auttavat estämään haitallisten sovellusten listautumisen sovelluskauppaan. Näihin turvatoimiin kuuluu säännöllisiä skannauksia kaikenlaisen haitallisen käyttäytymisen varalta kaupassa olevilla sovelluksilla. Joskus dropper-sovellus onnistuu kuitenkin kuuntelemaan Google Playta. TeaBot-dropper-sovelluksissa on se asia, että ne eivät ole suorastaan haitallisia. Mikään ei käynnistä Google Playn turvatoimia, koska haitallinen hyötykuorma toimitetaan vasta sen jälkeen, kun sovellus on jo laitteessa. Kun käyttäjät lataavat sovelluksen, heitä pyydetään lataamaan ohjelmistopäivitys eli haitallinen tietosisältö. Troijalainen yrittää sitten saada helppokäyttöpalvelujen käyttöoikeudet. Käyttäjien on annettava sovellukselle manuaalisesti lupa. Jos he lukevat käyttöoikeusluettelon, sen pitäisi aiheuttaa epäilyksiä, mutta monet käyttäjät kiirehtivät näiden vaiheiden läpi. Kun hyötykuorma on pudotettu ja suoritettu, sen takana olevat haitalliset toimijat voivat saada etäyhteyden uhrin laitteeseen. Viime kädessä haitallinen sovellus on arkaluonteisten tietojen, lähinnä kirjautumistietojen ja kaksivaiheisten todennustyökalujen jälkeen. Tällaisten tietojen hankkiminen antaisi haittaohjelmaoperaattoreille mahdollisuuden käyttää erilaisia arkaluonteisia tilejä edes huomaamatta, kunnes voi olla liian myöhäistä.

Yleensä on edelleen suositeltavaa ladata sovelluksia vain virallisista sovelluskaupoista. Koska jotkut sovellukset pystyvät kuitenkin ohittamaan turvallisuuden, käyttäjien tulisi silti olla erityisen varovaisia, varsinkin kun lataat apuohjelmasovelluksia. On hyvä tarkistaa kehittäjä, lukea arvosteluja, tarkistaa käyttöoikeudet jne. Jos PDF-lukija pyytää pääsyä tekstiviesteihin, siinä on jotain vikaa.

Vastaa