Пресловутый троянец TeaBot вернулся в магазин Google Play после того, как ему удалось обойти меры безопасности Google. TeaBot — это известный троянец, который может перехватывать SMS-сообщения и учетные данные для входа, позволяя операторам вредоносных программ получать доступ / красть электронную почту, социальные сети и даже банковские счета. Сам троянец не является чем-то необычным, так как все его функции довольно стандартны. Что выделяет TeaBot, так это его методы распространения. Вместо того, чтобы распространять с помощью обычных методов, таких как электронные письма, текстовые сообщения, вредоносные веб-сайты и т. Д., TeaBot, как известно, распространяется с помощью приложений-капельниц. Эти приложения выглядят легитимными только для доставки вредоносной полезной нагрузки один раз на устройство.
Приложения-капельницы, такие как TeaBot, обычно маскируются под служебные приложения, такие как программы для чтения PDF, фонарики, сканеры QR-кодов и т. Д. Пользователи, которые скачивают такие инструменты, обычно спешат и не тратят время на заглядывание в отзывы. Кроме того, магазины приложений, такие как Google Play, как правило, считаются безопасными местами для получения приложений, поэтому пользователи ослабляют свою бдительность. Но, к сожалению, некоторые злоумышленники могут обойти все меры безопасности и разместить свои вредоносные приложения в магазинах приложений. На этот раз троянец TeaBot был замечен под видом приложения для сканирования QR-кодов и штрих-кодов и смог заразить более 10 000 устройств. Интересно, что вредоносное приложение на самом деле предоставляет обещанные функции. Это позволяет троянцу оставаться установленным в течение длительного времени, потому что пользователи не будут пытаться избавиться от него, поскольку он работает, как и было обещано.
В магазине Google Play действуют многочисленные меры безопасности, которые помогают предотвратить размещение вредоносных приложений в магазине приложений. Эти меры безопасности включают регулярное сканирование на предмет любого вредоносного поведения приложений в магазине. Тем не менее, время от времени приложению-дропперу удается прослушивать в Google Play. Особенность приложений-капельниц TeaBot заключается в том, что они не являются откровенно вредоносными. Нет ничего, что могло бы вызвать меры безопасности Google Play, потому что вредоносная полезная нагрузка доставляется только после того, как приложение уже находится на устройстве. Когда пользователи загружают приложение, им предлагается загрузить обновление программного обеспечения, также известное как вредоносная полезная нагрузка. Затем троянец пытается получить разрешения служб специальных возможностей. Пользователи должны вручную предоставить приложению разрешение. Если они прочитают список разрешений, это должно вызвать подозрение, но многие пользователи спешат выполнить эти шаги. Как только полезная нагрузка сбрасывается и выполняется, злоумышленники, стоящие за ней, могут получить удаленный доступ к устройству жертвы. В конечном счете, вредоносное приложение ищет конфиденциальную информацию, в основном учетные данные для входа и инструменты двухфакторной аутентификации. Получение такого рода информации позволит операторам вредоносных программ получать доступ к различным конфиденциальным учетным записям, даже не замечая пользователей, пока не станет слишком поздно.
Как правило, по-прежнему рекомендуется загружать приложения только из официальных магазинов приложений. Однако, поскольку некоторые приложения могут обходить безопасность, пользователи все равно должны быть особенно осторожны, особенно при загрузке служебных приложений. Это хорошая идея, чтобы проверить разработчика, прочитать отзывы, просмотреть разрешения и т. Д. Если программа для чтения PDF запрашивает доступ к SMS, в этом есть что-то неправильное.