Osławiony trojan TeaBot powrócił do sklepu Google Play po tym, jak udało mu się ominąć środki bezpieczeństwa Google. TeaBot to dobrze znany trojan, który może przechwytywać wiadomości SMS i dane logowania, umożliwiając operatorom szkodliwego oprogramowania dostęp/ kradzież poczty e-mail, mediów społecznościowych, a nawet kont bankowych. Sam trojan nie jest niczym niezwykłym, ponieważ wszystkie jego funkcje są dość standardowe. To, co wyróżnia TeaBot, to metody dystrybucji. Zamiast rozprzestrzeniać się za pomocą zwykłych metod, takich jak e-maile, wiadomości tekstowe, złośliwe strony internetowe itp., TeaBot jest znany z rozprzestrzeniania się za pomocą aplikacji dropper. Te aplikacje wyglądają na legalne tylko po to, aby dostarczyć złośliwy ładunek raz na urządzenie.
Aplikacje dropper, takie jak TeaBot, są zwykle maskowane jako aplikacje narzędziowe, takie jak czytniki PDF, latarki, skanery kodów QR itp. Użytkownicy, którzy pobierają takie narzędzia, zwykle spieszą się i nie poświęcają czasu na przeglądanie recenzji. Co więcej, sklepy z aplikacjami, takie jak Google Play, są ogólnie uważane za bezpieczne miejsca do pobierania aplikacji, więc użytkownicy tracą czujność. Ale, niestety, niektórzy złośliwi aktorzy są w stanie ominąć wszystkie środki bezpieczeństwa i umieścić swoje złośliwe aplikacje na liście w sklepach z aplikacjami. Tym razem trojan TeaBot został zauważony podszywając się pod aplikację do skanowania kodów QR i kodów kreskowych i był w stanie zainfekować ponad 10 000 urządzeń. Co ciekawe, złośliwa aplikacja faktycznie zapewnia obiecane funkcje. Dzięki temu trojan pozostaje zainstalowany przez długi czas, ponieważ użytkownicy nie będą próbowali się go pozbyć, ponieważ działa zgodnie z obietnicą.
Sklep Google Play ma wiele środków bezpieczeństwa, które pomagają zapobiegać umieszczaniu złośliwych aplikacji w sklepie z aplikacjami. Te środki bezpieczeństwa obejmują regularne skanowanie w poszukiwaniu wszelkiego rodzaju złośliwych zachowań aplikacji w sklepie. Jednak od czasu do czasu aplikacji dropper udaje się słuchać w Google Play. Rzecz w aplikacjach TeaBot dropper polega na tym, że nie są one całkowicie złośliwe. Nic nie uruchamia środków bezpieczeństwa Google Play, ponieważ złośliwy ładunek jest dostarczany dopiero po tym, jak aplikacja jest już na urządzeniu. Gdy użytkownicy pobierają aplikację, są monitowani o pobranie aktualizacji oprogramowania, czyli złośliwego ładunku. Następnie trojan próbuje uzyskać uprawnienia usług ułatwień dostępu. Użytkownicy muszą ręcznie nadać aplikacji uprawnienia. Jeśli mieliby przeczytać listę uprawnień, powinno to wywołać podejrzenia, ale wielu użytkowników spieszy się z tymi krokami. Po upuszczeniu i wykonaniu ładunku złośliwi aktorzy mogą uzyskać zdalny dostęp do urządzenia ofiary. Ostatecznie złośliwa aplikacja poszukuje poufnych informacji, głównie danych logowania i narzędzi uwierzytelniania dwuskładnikowego. Pozyskiwanie tego rodzaju informacji pozwoliłoby operatorom szkodliwego oprogramowania na dostęp do różnych wrażliwych kont, nawet nie zauważając, dopóki nie będzie za późno.
Ogólnie rzecz biorąc, nadal zaleca się pobieranie aplikacji tylko z oficjalnych sklepów z aplikacjami. Ponieważ jednak niektóre aplikacje są w stanie ominąć zabezpieczenia, użytkownicy powinni zachować szczególną ostrożność, szczególnie podczas pobierania aplikacji narzędziowych. Dobrym pomysłem jest sprawdzenie programisty, przeczytanie recenzji, przejrzenie uprawnień itp. Jeśli czytnik plików PDF prosi o dostęp do wiadomości SMS, coś jest w tym nie tak.