Ein Android-Bankentrojaner, der Anmeldedaten und SMS-Nachrichten stehlen soll, wurde dabei beobachtet, wie er den Schutz des Google Play Store umgeht und Nutzer von mehr als 400 Bank- und Finanz-Apps aus Russland, China und den USA angreift.
„Die TeaBot RAT-Fähigkeiten werden über das Live-Streaming des Gerätebildschirms (das auf Abruf angefordert wird) und den Missbrauch von Zugangsdiensten für Remote-Interaktion und Key-Logging erreicht“, so die Forscher von Cleafy in einem Bericht. Dies ermöglicht es Threat Actors (TAs), ATO (Account Takeover) direkt vom kompromittierten Telefon aus durchzuführen, auch bekannt als „On-Device-Fraud“.
TeaBot, der auch unter dem Namen Anatsa bekannt ist, tauchte erstmals im Mai 2021 auf. Er tarnt seine bösartigen Funktionen, indem er sich als scheinbar harmlose PDF-Dokument- und QR-Code-Scanner-Apps ausgibt, die über den offiziellen Google Play Store statt über App-Stores von Drittanbietern oder über betrügerische Websites verbreitet werden.
Diese Apps, die auch als Dropper-Applikationen bekannt sind, fungieren als Kanal, um eine zweite Stufe der Nutzlast zu liefern, die den Malware-Stamm abruft, um die Kontrolle über die infizierten Geräte zu übernehmen. Im November 2021 gab das niederländische Sicherheitsunternehmen ThreatFabric bekannt, dass es seit Juni letzten Jahres sechs Anatsa-Dropper im Play Store entdeckt hatte.
Anfang Januar dieses Jahres entdeckten die Forscher von Bitdefender TeaBot, der als „QR Code Reader – Scanner App“ im offiziellen Android-App-Marktplatz lauerte und innerhalb eines Monats mehr als 100.000 Downloads verzeichnete, bevor er vom Netz genommen wurde.
Die neueste Version des TeaBot-Droppers, die Cleafy am 21. Februar 2022 entdeckte, ist ebenfalls eine QR-Code-Lese-App namens „QR Code & Barcode – Scanner“, die etwa 10.000 Mal aus dem Play Store heruntergeladen wurde.
Einmal installiert, ist der Modus Operandi derselbe: Nutzer werden aufgefordert, ein gefälschtes Add-on-Update zu akzeptieren, was wiederum zur Installation einer zweiten App führt, die auf GitHub gehostet wird und tatsächlich die TeaBot-Malware enthält. Damit diese Angriffskette erfolgreich ist, müssen die Nutzer die Installation aus unbekannten Quellen zulassen.
Die letzte Phase der Infektion besteht darin, dass der Banking-Trojaner Zugriffsrechte für die Zugangsdienste anfordert, um sensible Daten wie Anmeldedaten und Zwei-Faktor-Authentifizierungscodes abzufangen und die Konten zu übernehmen, um Betrug auf dem Gerät zu begehen.
„In weniger als einem Jahr ist die Zahl der Anwendungen, auf die TeaBot abzielt, um mehr als 500 % gestiegen, von 60 auf über 400“, so die Forscher, und fügten hinzu, dass die Malware nun mehrere Anwendungen im Zusammenhang mit persönlichen Bankgeschäften, Versicherungen, Krypto-Wallets und Krypto-Börsen angreift.