O famoso trojan TeaBot está de volta à loja Google Play depois de conseguir contornar as medidas de segurança do Google. O TeaBot é um trojan bem conhecido que pode interceptar mensagens SMS e credenciais de login, permitindo que os operadores de malware acessem/roubem e-mails, mídias sociais e até contas bancárias. O trojan em si não é nada incomum, pois todas as suas características são bastante padrão. O que faz o TeaBot se destacar são seus métodos de distribuição. Em vez de se espalhar através dos métodos usuais, como e-mails, mensagens de texto, sites maliciosos, etc., o TeaBot é conhecido por se espalhar usando aplicativos de saque-gotas. Esses aplicativos são feitos para parecer legítimos apenas para entregar uma carga maliciosa uma vez em um dispositivo.
Aplicativos de conta-gotas como o TeaBot geralmente são disfarçados como aplicativos utilitários como leitores pdf, lanternas, scanners de código QR, etc. Os usuários que baixam tais ferramentas geralmente estão com pressa e não têm tempo para olhar para as avaliações. Além disso, lojas de aplicativos como o Google Play são geralmente consideradas lugares seguros para obter aplicativos de modo que os usuários baixam a guarda. Mas, infelizmente, alguns atores mal-intencionados são capazes de contornar todas as medidas de segurança e obter seus aplicativos de malware listados em lojas de aplicativos. Desta vez, o trojan TeaBot foi visto disfarçado como um aplicativo de scanner QR Code & Barcode e foi capaz de infectar mais de 10.000 dispositivos. Curiosamente, o aplicativo malicioso realmente entrega os recursos prometidos. Isso permite que o trojan permaneça instalado por um longo tempo porque os usuários não tentarão se livrar dele, pois funciona como prometido.
A loja Google Play tem inúmeras medidas de segurança em vigor que ajudam a evitar que aplicativos mal-intencionados sejam listados na loja de aplicativos. Essas medidas de segurança incluem varreduras regulares para qualquer tipo de comportamento malicioso por aplicativos na loja. No entanto, de vez em quando, um aplicativo conta-gotas consegue ser ouvido no Google Play. A coisa sobre os aplicativos de dropper TeaBot é que eles não são totalmente maliciosos. Não há nada que acione as medidas de segurança do Google Play porque a carga maliciosa só é entregue depois que o aplicativo já estiver no dispositivo. Quando os usuários baixam o aplicativo, eles são solicitados a baixar uma atualização de software, também conhecida como carga maliciosa. O trojan então tenta obter permissões de Serviços de Acessibilidade. Os usuários têm que dar manualmente permissão ao aplicativo. Se eles fossem ler a lista de permissões, isso deve causar suspeita, mas muitos usuários correm por essas etapas. Uma vez que a carga é retirada e executada, os atores maliciosos por trás dela podem ter acesso remoto ao dispositivo da vítima. Em última análise, o aplicativo malicioso está atrás de informações confidenciais, principalmente credenciais de login e ferramentas de autenticação de dois fatores. A aquisição desse tipo de informação permitiria que os operadores de malware acessassem várias contas confidenciais sem que os usuários notassem até que seja tarde demais.
Geralmente, ainda é recomendado baixar apenas aplicativos de lojas de aplicativos oficiais. No entanto, como alguns aplicativos são capazes de contornar a segurança, os usuários ainda devem ser mais cautelosos, especialmente ao baixar aplicativos utilitários. É uma boa ideia verificar o desenvolvedor, ler as avaliações, rever as permissões, etc. Se um leitor de PDF está solicitando acesso ao SMS, há algo errado sobre isso.