Nach Upgrade: Android-Trojaner TeaBot nimmt mehr als 400 Apps ins Visier
Zur Verbreitung verlassen sich die Hintermänner nicht mehr nur auf Smishing. Sie nutzen auch offizielle App-Markplätze wie Google Play Store für ihre Zwecke.
Der Android-Trojaner TeaBot hat offenbar ein großes Upgrade erhalten. Die Malware ist nun auf mehr als 400 Android-Anwendungen ausgerichtet. Zudem sollen die Hintermänner ihre Taktik geändert haben und sich nicht mehr allein auf SMS-Phishing, auch Smishing genannt, verlassen.
Anfang 2021, als TeaBot erstmals aktiv wurde, wurde der Trojaner ausschließlich über Smishing verbreitet. Um Nutzer zu täuschen, versteckte sich die Malware in rund 60 verschiedenen und zum Teil bekannten Apps, darunter Apps von DHL und UPS sowie dem VLC Media Player.
Einer aktuellen Analyse von Cleafy zufolge ist es den Hackern inzwischen gelungen, TeaBot auch in offizielle Android-Marktplätze einzuschleusen, darunter der Google Play Store. Dabei bedienen Sie sich einer bekannten und offenbar immer noch effektiven Taktik.
Malware-Entwickler veröffentlichen eine legitime App in einem offiziellen App-Marktplatz, bestehen dessen Sicherheitsprüfungen und warten ab, bis sie eine größere Nutzerbasis erreicht haben. Im Fall von TeaBot handelt es sich um die in Google Play angebotene App „QR Code & Barcode Scanner“ mit mehr als 10.000 Downloads.
Im nächsten Schritt wird dann ein Update für die fragliche App verteilt, das die App zur Schadsoftware macht – TeaBot forderte im Februar Nutzer auf, ein „QR Code Scanner: Add-on“ zu installieren, das die Funktionen eines Remote Access Trojan nachlieferte.
Schädliche Funktionen kann TeaBot allerdings nur ausführen, falls ein Opfer die angefragte Berechtigung für den Zugriff auf die Bedienungshilfen erteilt. Damit lassen sich nicht nur alle Tastatureingaben aufzeichnen, die Hintermänner sind auch in der Lage, aus der Ferne die Kontrolle über das Gerät zu übernehmen.
„Da die über den offiziellen Google Play Store vertriebene Dropper-Anwendung nur wenige Berechtigungen anfordert und die bösartige Anwendung zu einem späteren Zeitpunkt heruntergeladen wird, kann sie mit legitimen Anwendungen verwechselt werden und ist für gängige AV-Lösungen fast unentdeckbar“, warnte Cleafy.