بدافزار TeaBot نوعی تروجان بانکی اندرویدی از نوع دسترسی از راه دور(Remote Access Trojan)* است که با ارتقاء جدید خود باعث افزایش و گسترش چشمگیر اهداف در سراسر جهان شده است.
تیم تحقیقاتی Cleafy اعلام نمود که TeaBot اکنون بیش از 400 برنامه کاربردی را هدف قرار داده است، که از تمرکز قبلی روی “smishing” به تاکتیک های پیشرفته تر متمرکز شده است.
حملات Smishing برای به خطر انداختن گوشی های تلفن همراه از طریق پیام های متنی هرزنامه حاوی لینک های مخرب استفاده می شود. اغلب این پیوندها وانمود میکنند که از بانک، رسانههای اجتماعی و یا یک شرکت پستی هستند که قربانیان را به وبسایتهای جعلی هدایت میکنند و اطلاعات شخصی و همچنین اطلاعات مربوط به حساب بانکی آنها را درخواست میکنند.(برای اطلاعات بیشتر در این زمینه می توانید به مقاله ای تحت عنوان “حمله smishing” که در وبسایت منتشر شده است مراجعه فرمایید).
هنگامی که بدافزار TeaBot در ابتدای سال 2021 ظهور کرد، بدافزاری به نام Toddler/Anatsa بوسیله حملات smishing و با 60 روش انتشار مختلف از طریق TeaTV, VLC Media Player, DHL و UPS منتشر شده بود.
پژوهش های انجام شده توسط PRODAFT در جولای 2021 نشان داد که TeaBot برای ضربه زدن به “ده ها” بانک اروپایی پیکربندی شده بود و حملات موفقیت آمیز آن به 18 سازمان مالی ردیابی شد.
در آن زمان، 90 درصد از آلودگی های TeaBot تنها به پنج شرکت محدود بود و این امر باعث شد که محققان به یک کمپین فیشینگ مبتنی بر پیامک مشکوک شوند.
اکنون دیگر بدافزار TeaBot از اروپا مهاجرت کرده و کشورهای جدیدی مانند روسیه، ایالات متحده و هنگ کنگ را شامل میشود** و از اهداف گستردهای فراتر از خدمات آنلاین استفاده میکند. بانکها، صرافیهای ارزهای دیجیتال و ارائهدهندگان بیمه دیجیتال هم اکنون از مقاصد فیشینگ هستند.
شرکت مدیریت ریسک Cleafy میگوید که این بدافزار از طریق برنامههای dropper نیز توانسته است به اندروید نفوذ کند. ***
در بررسی های بدستآمده در ماه فوریه توسط این شرکت، یک برنامه منتشر شده در Google Play به نام «QR Code & Barcode Scanner» پیدا شد که از طریق بروز رسانی جعلی، TeaBot را به کاربران ارائه میدهد.
یک تاکتیک مشترک توسط توسعه دهندگان بدافزار وجود دارد:
یک برنامه را در قالب رسمی منتشر کنید، سپس بررسی های امنیتی موجود را پاک کرده و پس از ایجاد یک پایگاه کاربری بزرگ آن را منتشر کنید. به عنوان مثال بیش از 10000 نفر پس از یک بروز رسانی شاهد این بودند که نرم افزار تبدیل به یک برنامه مخرب می شود.
این برنامه از یکی از دو مخزن GitHub که متعلق به یک توسعه دهنده است دانلود می شود. پس از نصب، TeaBot ابتدا از خدمات دسترسی سیستم عامل Android سوء استفاده می کند و مجوزهایی را درخواست می کند که به بدافزار اجازه می دهد تا فعالیت هایی از جمله keylogging و همچنین سرقت اطلاعات دستگاه از راه دور را انجام دهد.
علاوه بر آن، TeaBot از صفحه اسکرین شات می گیرد و صفحه گوشی را برای سرقت اطلاعات اعتباری از جمله اطلاعات حساب و کدهای احراز هویت دو مرحله ای (2FA) مانیتور می کند.
Cleafy هشدار می دهد: «از آنجایی که برنامه dropper توزیع شده در فروشگاه رسمی Google Play فقط چند مجوز درخواست می کند و برنامه مخرب در زمان دیگری دانلود می شود، به همین دلیل می تواند در بین برنامه های قانونی اشتباه گرفته شود و توسط برنامه های آنتی ویروس نیز قابل شناسایی نباشد.
پانوشت ها:
* تروجانهای دسترسی از راه دور (RAT) بدافزاری هستند که به مهاجم اجازه میدهند تا از راه دور یک کامپیوتر آلوده را کنترل کنند. هنگامی که RAT روی یک سیستم اجرا می شود، مهاجم می تواند دستوراتی را به آن ارسال کند و در پاسخ اطلاعاتی را نیز دریافت کند.
** گزارش میزان و گستردگی آلودگی به بدافزار TeaBot در جهان براساس رصد و اعلام سازمان های ردیابی اطلاعات حساس انجام می شود. میزان دقیق این آمار به پارامترهای زیادی بستگی دارد و باتوجه به ماهیت تروجانی بدافزار TeaBot تعداد مناطق درگیر این بدافزار بسیار بیشتر از مناطق اعلام شده می باشد.
*** Dropper یک برنامه مخرب است که حاوی برنامه(های) مخرب اضافی در بارگذاری خود می باشد که برنامه های مخرب اضافی را روی دستگاه تلفن همراه آلوده نصب می کند.
منبع: zdnet.com