Ünlü TeaBot truva atı, Google’ın güvenlik önlemlerini atlamayı başardıktan sonra Google Play mağazasına geri döndü. TeaBot, SMS mesajlarını ve giriş kimlik bilgilerini ele geçirebilen, kötü amaçlı yazılım operatörlerinin e-postalara, sosyal medyaya ve hatta bankacılık hesaplarına erişmesine / çalmasına izin veren iyi bilinen bir truva atıdır. Truva atlarının kendisi olağandışı bir şey değildir, çünkü tüm özellikleri oldukça standarttır. TeaBot’u öne çıkan şey dağıtım yöntemleridir. TeaBot, e-postalar, kısa mesajlar, kötü amaçlı web siteleri vb. Bu uygulamalar yalnızca bir cihazda bir kez kötü amaçlı yük teslim etmek için meşru görünecek şekilde yapılır.
TeaBot gibi damlalık uygulamaları genellikle PDF okuyucular, el fenerleri, QR kod tarayıcıları vb. Bu tür araçları indiren kullanıcılar genellikle acele eder ve yorumlara bakmak için zaman ayırmıyorlar. Ayrıca, Google Play gibi uygulama mağazaları genellikle uygulama almak için güvenli yerler olarak kabul edilir, bu nedenle kullanıcılar gardını düşürsün. Ancak, ne yazık ki, bazı kötü amaçlı aktörler tüm güvenlik önlemlerini atlayabilir ve kötü amaçlı yazılım uygulamalarını uygulama mağazalarında listeleyebiliyor. Bu kez, TeaBot truva atı QR Kod ve Barkod tarayıcı uygulaması kılığında görüldü ve 10.000’den fazla cihaza bulaşabildi. İlginçtir ki, kötü amaçlı uygulama aslında vaat edilen özellikleri sunar. Bu, truva atının uzun süre yüklü kalmasını sağlar, çünkü kullanıcılar söz verildiği gibi çalıştığından ondan kurtulmaya çalışmazlar.
Google Play store’da, kötü amaçlı uygulamaların uygulama mağazasında listelenmesini önlemeye yardımcı olan çok sayıda güvenlik önlemi vardır. Bu güvenlik önlemleri, mağazadaki uygulamalar tarafından her türlü kötü amaçlı davranış için düzenli taramaları içerir. Ancak, arada bir, bir damlalık uygulaması Google Play’de dinlemeyi başarır. TeaBot dropper uygulamalarıyla ilgili olan şey, bunların tamamen kötü niyetli olmalarıdır. Google Play’in güvenlik önlemlerini tetikleyecek hiçbir şey yoktur, çünkü kötü amaçlı yük yalnızca uygulama cihazda olduktan sonra teslim edilir. Kullanıcılar uygulamayı indirdiklerinde, kötü amaçlı yük olarak bir yazılım güncellemesi indirmeleri istenir. Truva atı daha sonra Erişilebilirlik Hizmetleri izinlerini almaya çalışır. Kullanıcıların uygulamaya manuel olarak izin vermesi gerekir. İzin listesini okurlarsa, şüpheye neden olmalıdır, ancak birçok kullanıcı bu adımlarda acele eder. Yük bırakıp çalıştırıldıktan sonra, arkasındaki kötü niyetli aktörler kurbanın cihazına uzaktan erişebilirler. Sonuçta, kötü amaçlı uygulama hassas bilgilerin, çoğunlukla oturum açma kimlik bilgilerinin ve iki faktörlü kimlik doğrulama araçlarının peşindedir. Bu tür bilgileri edinmek, kötü amaçlı yazılım operatörlerinin çok geç olana kadar kullanıcılar fark etmeden çeşitli hassas hesaplara erişmesine izin verir.
Genel olarak, yalnızca resmi uygulama mağazalarından uygulama indirmeniz önerilir. Ancak, bazı uygulamalar güvenliği atlayabildiğinden, kullanıcılar özellikle yardımcı uygulamaları indirirken yine de ekstra dikkatli olmalıdır. Geliştiriciyi kontrol etmek, yorumları okumak, izinleri gözden geçirmek vb. PDF okuyucu SMS’e erişim istiyorsa, bunda doğru olmayan bir şey vardır.