Распространять вредоносные программы на Android-устройствах непросто, так как официальный магазин обычно (но не всегда) может помешать этим типам приложений добраться до пользователей. Но одной из самых сильных сторон Android является возможность загрузки приложений из неофициальных источников. Используя комбинацию трюков, чтобы убедить пользователей устанавливать приложения из альтернативных источников, преступники распространяют большую часть своих вредоносных программ через сторонние загрузки. Если на мобильных устройствах не установлен защитный софт, вредоносные приложения беспрепятственно запускаются. TeaBot и Flubot - новейшие семьи банкиров-троянцев, в первые месяцы 2021 года их идентифицировали многочисленные исследователи безопасности. Исследователи Bitdefender обнаружили партию новых вредоносных Android-приложений, которые выдают себя за настоящие от популярных брендов, но с вредоносной нагрузкой. TeaBot снова наносит удар Известны TeaBot («Anatsa») и его рабочие механизмы. Согласно раннему отчету об анализе, вредоносная программа может осуществлять скрытые атаки через Android Accessibility Services, перехватывать сообщения, выполнять различные действия по кейлогингу, красть коды Google Authentication и даже брать на себя полное удаленное управление Android-устройствами. Преступники используют следующий доступный метод распространения - имитацию топовых приложений в надежде обмануть хотя бы некоторых пользователей при загрузке и установке их вредоносных версий. Исследователи Bitdefender выявили пять новых вредоносных Android- приложения, которые упаковывают банковский троян Teabot и выдают себя за реальных. Два приложения упоминаются как банковское вредоносное ПО в Twitter, и мы установили связь с вредоносным ПО Anatsa. Фальшивые приложения, содержащие полезную нагрузку Teabot, основаны на популярных приложениях, размещенных в Google Play, некоторые из которых имееют свыше 50 миллионов загрузок. Неудивительно, что преступники пытаются воспользоваться их популярностью. Разработчики официальных приложений в этом не виноваты. Начало этой кампании распространения поддельных вредоносных Android-приложений датируется началом декабря 2020 года, раньше, чем было выявлено ранее. Это также было указано в твите, когда была опубликована оригинальная статья. Кампания по распространению этих приложений в сети остается активной. Bitdefender выявил странный метод распространения с злоумышленниками с помощью поддельного приложения Ad Blocker, которое выступает в качестве друппера для малвари. Это всего лишь один новый метод распространения. Мы подозреваем, что другие пути также используются, но пока они остаются неизвестными. Мы составили список всех банков, на которые ориентировался Teabot, но есть оговорка: его операторы могут адаптировать его в любое время, добавлять больше банков или удалять поддержку для некоторых. Список действителен прямо сейчас, но он, скорее всего, изменится в будущем. App name App package name Bankia Wallet com.bankia.wallet BankinterMóvil com.bankinter.launcher BBVA Spain | Online banking com.bbva.bbvacontigo BBVA Net Cash | ES & PT com.bbva.netcash Kutxabank com.kutxabank.android Santander es.bancosantander.apps Bankia es.cm.android CaixaBankNow es.lacaixa.mobile.android.newwapicon Banca Digital Liberbank es.liberbank.cajasturapp Openbank – bancamóvil es.openbank.mobile UnicajaMovil es.univia.unicajamovil BBVA México (BancomerMóvil) com.bancomer.mbanking Banco Sabadell App. Your mobile bank net.inverline.bancosabadell.officelocator.android Commerzbank Banking – The app at your side de.commerzbanking.mobil comdirect mobile App de.comdirect.android SparkasseIhre mobile Filiale com.starfinanz.smob.android.sfinanzstatus Deutsche Bank Mobile com.db.pwcc.dbmobile Banco Sabadell App. Your mobile bank net.inverline.bancosabadell.officelocator.android VR Banking Classic de.fiducia.smartphone.android.banking.vr Cajasur com.cajasur.android GrupoCajamar com.grupocajamar.wefferent BW-Mobilbankingmit Smartphone und Tablet com.starfinanz.smob.android.bwmobilbanking Ibercaja es.ibercaja.ibercajaapp ING España. Banca Móvil www.ingdirect.nativeframe Из телеметрии Bitdefender мы смогли идентифицировать два новых вектора заражения, а именно приложения с именами пакетов «com.intensive.sound» и «com.anaconda.brave», которые загружают Teabot. Это приложения для удаления вредоносных программ, известные как имитирующие законные приложения (например, Ad Blocker в нашем случае). Поддельные приложения для блокировки рекламы не имеют функциональности оригинальной версии. Они просят разрешения отображать другие приложения, показывать уведомления и устанавливать приложения вне Google Play, после чего скрывают значок. Это не оригинальное решение; предложение загрузки вредоносных программ как услуги является довольно распространенной практикой в подпольной индустрии вредоносных программ. /Android/data/com.intensive.sound/files/Download/MediaPlayer.apk /Android/data/com.anaconda.brave/files/Download/MediaPlayer.apk Мы обнаруживаем эти приложения с помощью Bitdefender Mobile Security как Android.Trojan.HiddenApp.AID. Это текущий дистрибутив, в котором приложение с именем MediaPlayer управляет ландшафтом. Но это не единственный. Как выясняется, MediaPlayer.apk на самом деле пытается выдать себя за одного из самых известных мультимедийных плееров в Google Play Store, названного VLC. Исследователи безопасности из Cleafy первыми идентифицировали вредоносное ПО, олицетворяющее приложение VLC. FluBot не отстает Flubot (также известный как Cabassous) - другое быстро набирающее популярность семейство банковских троянов. Тепловая карта показывает, что это семейство банковских троянов было более успешным в распространении на международном уровне, преимущественно в Германии, Испании, Италии и Великобритании. В отличие от Teabot, который иногда загружается приложением, представляющимся блокировщиком рекламы, операторы Flubot проводят гораздо более прямую кампанию, используя спам-SMS в качестве средства доставки. В то время как его вредоносная функциональность не так сложна, как у Teabot (которая благодаря регистрации доступности позволяет субъектам угроз отслеживать устройство в режиме реального времени), FluBot по-прежнему является банковским трояном. Он крадет банковские, контактные, SMS и другие типы частных данных с зараженных устройств, и имеет арсенал других доступных команд, включая возможность отправлять SMS с контентом, предоставляемым CnC. Flubot использует эту команду для распространения через SMS спама и червеподобное поведение. В нашем анализе мы наблюдали более 100 различных доменов, используемых в кампании для размещения поддельных файлов APK. Эти домены принадлежат взломанным/угнанным сайтам, где злоумышленники заливали свои вредоносные программы для дальнейшего распространения. Во многих случаях это законные веб-сайты и домены, которые преступники успешно атаковали через существующие уязвимости, размещая ссылки для загрузки вредоносных программ. Источник: https://labs.bitdefender.com/2021/0...-spread-teabot-and-flubot-malware-on-android/