Menu dostępności

Złośliwe oprogramowanie bankowe na Androida znów atakuje

Badacze odkryli nową aktywność starego trojana bankowego. Napisany został na Androida i zaprojektowany do kradzieży danych uwierzytelniających i wiadomości SMS. Przemknął się przez zabezpieczenia Sklepu Google Play i atakuje użytkowników ponad 400 aplikacji bankowych i finansowych, głównie tych z Rosji, Chin i Stanów Zjednoczonych.


Krótko o TeaBot

Znany jest również pod nazwą Anatsa, TeaBot pojawił się po raz pierwszy w maju 2021 r., kamuflując swoje złośliwe funkcje, podszywając się pod pozornie nieszkodliwe aplikacje do skanowania dokumentów PDF i kodów QR, dystrybuowane za pośrednictwem oficjalnego sklepu Google Play. Początkowo TeaBot był dystrybuowany poprzez kampanie smishingu.

21 lutego 2022 r. zespół Cleafy Threat Intelligence and Incident Response (TIR) wykrył aplikację opublikowaną w oficjalnym sklepie Google Play, która działała jako aplikacja droppera dostarczająca TeaBota z fałszywą procedurą aktualizacji.


Sklep Play na celowniku

Ostatnio odkryto nowe metody ładowania bocznego, w tym dystrybucję aplikacji w oficjalnym sklepie Google Play. Instalacja znajduje się za zwykłym skanerem kodów QR i kodów kreskowych, który w momencie pisania tego artykułu został pobrany +10.000 razy. Wszystkie recenzje pokazują, że aplikacja dobrze działa i nie ma z nią żadnych problemów.

Jednak po pobraniu aplikacja natychmiast zażąda aktualizacji za pomocą wyskakującego komunikatu. W przeciwieństwie do legalnych aplikacji, które dokonują aktualizacji za pośrednictwem oficjalnego sklepu Google Play, aplikacja poprosi o pobranie i zainstalowanie drugiej aplikacji.

Jedną z największych różnic w porównaniu kampaniami smishingu, jest wzrost liczby docelowych aplikacji, które obejmują teraz aplikacje do bankowości domowej, aplikacje ubezpieczeniowe, portfele kryptograficzne i giełdy kryptograficzne. W niecały rok liczba aplikacji, na które celuje TeaBot, wzrosła o ponad 500%, z 60 celów do ponad 400.


Jak się bronić?

Ponieważ aplikacja rozpowszechniana jest poprzez oficjalny sklep Google Play i żąda tylko kilku uprawnień, a złośliwa aplikacja jest pobierana później, zachowuje pozory legalności i jest prawie niewykrywalna przez popularne rozwiązania antywirusowe.

Najważniejsze to nie instalować aplikacji spoza oficjalnego Sklepu Play, oraz sprawdzać uprawniania których dana aplikacja zażąda.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...