Kampanye distribusi malware FluBot dan TeaBot baru telah terlihat, menggunakan umpan-umpan khas atau aplikasi yang dicampur terhadap pengguna Android di Australia, Jerman, Polandia, Spanyol, dan Rumania.
Topik SMS yang digunakan untuk menyebarkan malware FluBot termasuk pesan kurir palsu, “Apakah ini Anda dalam video ini?” membujuk, pembaruan browser palsu, dan pemberitahuan pesan suara palsu.
Setelah menginfeksi satu perangkat, malware menggunakan daftar kontak korban untuk mendistribusikan umpan SMS lainnya, mencapai tingkat infeksi yang lebih baik karena kepercayaan penerima pada kontak yang diketahui dan pertumbuhan yang berkelanjutan.
TeaBot adalah trojan perbankan Android yang berbeda yang ditemukan pada Januari 2021 dan memiliki jangkauan global.
Menurut para peneliti, TeaBot didistribusikan kepada korban yang tidak curiga melalui aplikasi trojanized di Google Play Store, termasuk:
- Pembaca Kode QR – Aplikasi Pemindai – 100.000 unduhan
- QR Scanner APK – 10.000 unduhan
- Pemindaian Kode QR – 10.000 unduhan
- Smart Cleaner – 1.000 unduhan
- Weather Cast – 10.000 unduhan
- Weather Daily – 10.000 unduhan
Tak satu pun dari aplikasi ini menampilkan fungsi berbahaya, dan semua menawarkan fitur yang dijanjikan, yang memungkinkan mereka untuk melewati proses peninjauan Google Play Store dan mencapai kolam infeksi yang lebih luas.
Selain itu, para aktor secara aktif mempromosikan aplikasi ini dengan membayar untuk muncul di Google Ads yang disajikan dalam aplikasi dan game lain.
Setelah diinstal dan dieksekusi pada perangkat korban, aplikasi memulai layanan latar belakang yang memeriksa kode negara dan berhenti jika hasilnya adalah Ukraina, Uzbekistan, Uruguay, atau Amerika Serikat.
Aplikasi ini mengambil konfigurasinya untuk semua korban lainnya dan mengambil APK dari repositori GitHub, yang berisi varian TeaBot. Pada saat yang sama, aplikasi meminta pengguna untuk mengizinkan sumber pihak ketiga untuk menginstal paket.
Antara 6 Desember 2021 dan 17 Januari 2022, analis Bitdefender telah menghitung 17 versi TeaBot yang berbeda yang menginfeksi perangkat melalui aplikasi yang terdaftar.
Kampanye TeaBot menggambarkan bahwa bahkan ketika menginstal perangkat lunak dari Google Play Store, itu tidak berarti bahwa Anda akan selalu aman.
Oleh karena itu, disarankan untuk tetap waspada dengan instalasi baru, memeriksa ulasan pengguna, memantau jaringan aplikasi dan penggunaan baterai, dan hanya memberikan izin yang tidak berisiko.
Ingat, ini bukan pertama kalinya TeaBot berhasil menyusup ke Play Store melalui aplikasi yang dicampur, dan tidak mungkin itu akan menjadi yang terakhir.
Sumber: Bleepingcomputer
