Trong khi Google Play Store là nơi có hàng triệu ứng dụng và trò chơi Android hữu ích, nhưng bằng cách nào đó, nó cũng có những ứng dụng độc hại gây ra mối đe dọa về quyền riêng tư cho người dùng. Một ứng dụng độc hại mới đã được phát hiện, có thể mang trojan ngân hàng mới có tên là “TeaBot”, được thiết kế để đánh cắp dữ liệu nhạy cảm của người dùng như mật khẩu, thông tin xác thực ngân hàng và tin nhắn văn bản trên điện thoại Android của bạn. Chúng ta hãy xem xét kỹ hơn các chi tiết dưới đây.
Trojan ngân hàng TeaBot được phát hiện trong ứng dụng mã QR
Trojan ngân hàng TeaBot, còn được gọi là Trẻ mới biết đi và Anatsa, được phát hiện lần đầu tiên vào tháng 5 năm 2021. Vào thời điểm đó, nó nhắm mục tiêu vào các ngân hàng châu Âu và đánh cắp mã xác thực hai yếu tố (2FA) được gửi qua tin nhắn văn bản. Tuy nhiên, một báo cáo từ phần mềm độc hại và nền tảng phòng chống gian lận trực tuyến Cleafy hiện tuyên bố rằng phần mềm độc hại này đã phát triển và hiện đang được sử dụng để nhắm mục tiêu vào người dùng trong Nga, Hồng Kông và Hoa Kỳ.
Theo báo cáo, ứng dụng Android có tên “Mã QR & Mã vạch – Máy quét” là ứng dụng chứa TeaBot mới nhất trong Google Play Store đã có hơn 10.000 lượt tải xuống. Mặc dù thoạt nhìn ứng dụng này có vẻ hợp pháp nhưng nó đã yêu cầu quyền tải xuống ứng dụng “QR Coder Scanner: Add On” thứ hai, bao gồm các mẫu TeaBot sau khi tải xuống.
Sau khi ứng dụng thứ hai được cài đặt, nó yêu cầu quyền xem và điều khiển màn hình của thiết bị để lấy dữ liệu nhạy cảm của người dùng như SMS, thông tin đăng nhập và mã 2FA. Hơn nữa, trojan còn ghi lại các mục nhập bàn phím của người dùng, giống như các phần mềm độc hại ngân hàng khác, để lấy thông tin nhạy cảm.
Vì ứng dụng QR Code & Barcode – Scanner có vẻ hợp pháp nên hầu hết các đánh giá của người dùng đều tích cực. Ngoài ra, ứng dụng đã tải xuống trojan TeaBot dưới dạng bản cập nhật trong ứng dụng và do đó, nó vẫn tồn tại. “gần như không thể phát hiện” bởi nhiều giải pháp chống virus cho Android.
“Kể từ khi ứng dụng nhỏ giọt được phân phối chính thức Google Play Store chỉ yêu cầu một số quyền và ứng dụng độc hại sẽ được tải xuống sau đó, nó có thể bị nhầm lẫn giữa các ứng dụng hợp pháp và gần như không thể bị phát hiện bởi các giải pháp chống vi-rút thông thường,” các nhà nghiên cứu của Cleafy đã viết trong báo cáo.
Trước đây, trojan TeaBot được phát tán thông qua các chiến dịch lừa đảo qua SMS bằng cách thu hút người dùng bằng các ứng dụng Android phổ biến như VLC Media Player, TeaTV, DHL hoặc UPS. Các ứng dụng này hoạt động như một “ống nhỏ giọt” cho trojan TeaBot độc hại, có nghĩa là chúng có vẻ là ứng dụng hợp pháp nhưng lại phân phối tải trọng độc hại giai đoạn hai được cài đặt TeaBot trên thiết bị của người dùng đang sử dụng ứng dụng.
Trong khi Mã QR & Mã vạch – Máy quét đã bị xóa từ Cửa hàng Play của Google, Cleafy đề cập rằng TeaBot hiện đang nhắm mục tiêu hơn 400 ứng dụng Android. Chúng bao gồm ví tiền điện tử, ứng dụng bảo hiểm và ứng dụng ngân hàng tại nhà. Vì vậy, nếu bạn là người dùng Android, đặc biệt là ở Hồng Kông, Nga hoặc Hoa Kỳ, hãy cẩn thận với trojan TeaBot trong Google Play Store!
