The TeaBot banking trojan – juga dikenal sebagai “Anatsa” – telah ditemukan di Google Play store, peneliti dari Cleafy telah menemukannya.
Malware – dirancang untuk mencegat pesan SMS dan kredensial login dari pengguna yang tidak disadari – mempengaruhi pengguna “lebih dari 400 perbankan dan aplikasi keuangan, termasuk yang dari Rusia, Cina, dan AS,” klaim laporannya.
Ini bukan pertama kalinya TeaBot meneror pengguna Android.
TeaBot Tidak Akan Mati
TeaBot pertama kali ditemukan tahun lalu. Ini adalah malware yang relatif sederhana yang dirancang untuk menyedot perbankan, kontak, SMS, dan jenis data pribadi lainnya dari perangkat yang terinfeksi. Apa yang membuatnya unik – apa yang membuatnya bertahan – adalah cara cerdas penyebarannya.
TeaBot tidak memerlukan email atau pesan teks berbahaya, tidak ada situs web palsu atau layanan pihak ketiga. Sebaliknya, itu biasanya dikemas dalam aplikasi penetes. Dropper adalah program yang tampak sah dari luar, tetapi sebenarnya bertindak sebagai kendaraan untuk mengirimkan muatan berbahaya tahap kedua.
TeaBot dropper telah menyamar sebagai kode QR biasa atau pembaca PDF. Hank Schless, manajer senior solusi keamanan di Lookout, menjelaskan melalui email bahwa penyerang “biasanya menempel pada aplikasi utilitas seperti pemindai kode QR, senter, filter foto, atau pemindai PDF karena ini adalah aplikasi yang diunduh orang karena kebutuhan dan kemungkinan tidak akan luangkan waktu sebanyak mungkin untuk melihat ulasan yang mungkin memengaruhi keputusan mereka untuk mengunduh.”
Taktik ini tampaknya efektif. Pada bulan Januari, sebuah aplikasi bernama QR Code Reader – Scanner App mendistribusikan 17 varian Teabot yang berbeda selama kurang lebih satu bulan. Itu berhasil menarik lebih dari 100.000 unduhan pada saat ditemukan.
Penetes TeaBot lainnya - ditemukan oleh perusahaan keamanan Belanda ThreatFabric November lalu - telah dikemas dengan banyak nama, seperti Pemindai QR 2021, Pemindai Dokumen PDF, dan CryptoTracker. Yang terbaru, menurut firma keamanan Cleafy, adalah QR Code & Barcode – Scanner.
Mengapa TeaBot Tidak Dapat Dihentikan?
App store memiliki kebijakan dan perlindungan yang ditujukan untuk memerangi malware. Google Play Protect, misalnya, membantu membasmi aplikasi berbahaya sebelum diinstal dan memindai bukti kesalahan setiap hari.
Namun, penetes TeaBot jelas tidak berbahaya. Mereka mungkin tampak sangat tidak menarik, setidaknya di permukaan.
Setelah pengguna membuka salah satu aplikasi yang tidak mencolok ini, mereka akan diminta untuk mengunduh pembaruan perangkat lunak. Pembaruan tersebut, pada kenyataannya, adalah aplikasi kedua yang berisi muatan berbahaya.
Jika pengguna memberikan izin kepada aplikasi mereka untuk menginstal perangkat lunak dari sumber yang tidak dikenal, proses infeksi akan dimulai. Seperti malware Android lainnya, malware TeaBot mencoba memanfaatkan Layanan Aksesibilitas. Serangan semacam itu menggunakan fitur akses jarak jauh canggih yang menyalahgunakan aplikasi TeamViewer – akses jarak jauh dan alat berbagi desktop – memberikan pelaku jahat di balik kendali jarak jauh malware atas perangkat korban.
Tujuan akhir dari serangan ini adalah untuk mengambil informasi sensitif seperti login kredensial, kode SMS dan 2FA dari layar perangkat, serta untuk melakukan tindakan jahat pada perangkat, kata laporan itu.
Begini Cara TeaBot Dapat Dihentikan
Serangan TeaBot berkembang pesat. Seperti yang dicatat Cleafy, “Dalam waktu kurang dari setahun, jumlah aplikasi yang ditargetkan oleh TeaBot telah tumbuh lebih dari 500%, dari 60 target menjadi lebih dari 400.”
Apa yang dapat dilakukan untuk menghentikannya?
“Pemindaian aplikasi secara real-time unduhan – bahkan jika aplikasi tidak berasal dari Google Play – akan membantu mengurangi masalah ini,” Shawn Smith, direktur infrastruktur di nVisium, mengatakan kepada Threatpost pada hari Rabu melalui email, menambahkan bahwa “pesan peringatan tambahan saat memasang add-on aplikasi yang tidak ada di Google Play dapat berguna juga.”
Leo Pate, konsultan pengelola di nVisium, juga mengatakan kepada Threatpost melalui email pada hari Rabu bahwa “Google dapat menerapkan pemeriksaan pada izin permisif untuk menjalankan aplikasi, memperoleh daftar publik tertentu yang di-hardcode IP dan nama domain. Kemudian, [Google dapat menjalankan] mereka melalui berbagai sumber untuk melihat apakah mereka 'buruk.`”
Sampai toko aplikasi memperbaiki masalah dengan dropper, pengguna harus tetap waspada, catat Schless. “Semua orang tahu bahwa mereka harus memiliki aplikasi antivirus dan anti-malware di komputer mereka, dan perangkat seluler kami tidak boleh diperlakukan secara berbeda.”
Daftar Hari Ini untuk Eksploitasi Log4j: Pelajaran yang Dipetik dan Praktik Terbaik Pengurangan Risiko – acara LIVE Threatpost yang diminta Kamis, 10 Maret pukul 14:00 ET. Bergabunglah dengan pakar kode Sonatype Justin Young saat ia membantu Anda mempertajam keterampilan berburu kode untuk mengurangi waktu diam penyerang. Pelajari mengapa Log4j masih berbahaya dan bagaimana SBOM masuk ke dalam keamanan rantai pasokan perangkat lunak. Daftar Sekarang untuk acara GRATIS satu kali ini, Disponsori oleh Sonatype.
Tulis komentar
Bagikan artikel ini:
- iKerentanan
