Maggio 27, 2022

Cuore Blucerchiato

Ultime notizie italiane tra cui notizie politiche, storie sportive, criminalità e titoli del Vaticano.

L’app Google Play scaricata più di 10.000 volte contiene il furto di dati RAT

L'app Google Play scaricata più di 10.000 volte contiene il furto di dati RAT
Primo piano di una carta regalo di Google Play.

Una società di sicurezza ha riferito che un’app dannosa che è stata scaricata da Google Play più di 10.000 volte ha installato un Trojan di accesso remoto invisibile che ha rubato password, messaggi di testo e altri dati riservati degli utenti.

È apparso un cavallo di Troia, che porta i nomi TeaBot e Anatsa lo scorso maggio. Le emittenti hanno utilizzato e abusato dei servizi di accesso Android in un modo che consente ai creatori di malware di visualizzare in remoto gli schermi dei dispositivi infetti e interagire con i processi dei dispositivi. All’epoca, TeaBot era programmato per rubare dati da un elenco preselezionato di app da circa 60 banche in tutto il mondo.

Martedì, la società di sicurezza Cleafy menzionato Quel TeaBot è tornato. Questa volta, il trojan si è diffuso attraverso un’app dannosa chiamata QR Code & Barcode Scanner, che ha consentito agli utenti di interagire con codici QR e codici a barre, come suggerito dal nome. L’app ha avuto più di 10.000 installazioni prima che i ricercatori Cleafy notificassero a Google l’attività fraudolenta e Google la rimuovesse.

Una delle maggiori differenze[s]rispetto ai campioni scoperti durante … maggio 2021, è quello di aumentare le applicazioni target che ora includono App di home banking, app assicurative, portafogli crittografici e scambi di criptovaluteLibri di Cliffy Scholars. “In meno di un anno, il numero di app prese di mira da TeaBot è cresciuto di oltre il 500%, passando da 60 target a oltre 400”.

Negli ultimi mesi, TeaBot ha anche iniziato a supportare nuove lingue tra cui russo, slovacco e cinese mandarino per visualizzare messaggi personalizzati sui telefoni infetti. L’app di scansione antifrode distribuita Play è stata rilevata come dannosa solo da due servizi anti-malware e ha richiesto solo alcune autorizzazioni al momento del download. Tutte le recensioni hanno descritto l’app come legittima e funzionante, rendendo difficile per le persone meno esperte identificarla come un rischio.

Una volta installata, l’app dannosa QR Code & Barcode Scanner visualizza un popup che informa gli utenti che è disponibile un aggiornamento. Ma invece di rendere disponibile l’aggiornamento tramite Play come al solito, il popup lo ha scaricato da repository GitHub specifici creati da un utente chiamato feleanicusor. I due repository, a loro volta, hanno installato TeaBot.

Questa infografica fornisce una panoramica della catena di infezione sviluppata dagli autori di TeaBot:

Scogliese

I ricercatori di Cleafy hanno scritto:

Una volta che gli utenti accettano il download ed eseguono l'”aggiornamento” fittizio, TeaBot avvierà il processo di installazione richiedendo le autorizzazioni di Access Services per ottenere i privilegi richiesti:

  • Display e schermo di controllo: Utilizzato per recuperare informazioni sensibili come credenziali di accesso, messaggi SMS e codici 2FA dallo schermo del dispositivo.
  • Visualizza ed esegui azioni: Vengono utilizzati per accettare diversi tipi di autorizzazioni, subito dopo la fase di installazione, e per eseguire azioni dannose sul dispositivo infetto.

Scogliese

TeaBot è l’ultimo malware Android pubblicato tramite l’App Market ufficiale di Google. L’azienda è generalmente veloce nel rimuovere le app dannose non appena vengono segnalate, ma fatica ancora a identificare il malware da solo. I rappresentanti di Google non hanno risposto a un’email di richiesta di commento su questo post.

Il post del martedì di Cleafy contiene un elenco di indicatori che le persone possono utilizzare per determinare se hanno installato un’app dannosa.

Elenco immagini di Getty Images

READ  Come utilizzare il controllo universale sul tuo Mac e iPad