1. TeaBot 악성코드 구글 플레이 스토어 다시 나타남
Reference: https://www.boannews.com/media/view.asp?idx=105196&page=1&mkind=1&kind=1 /
https://www.cleafy.com/cleafy-labs/teabot-is-now-spreading-across-the-globe
구글 플레이 스토어에서 퇴출되었던 TeaBot 트로이목마 악성코드가 다시 나타났다. 각종 QR 코드 관련 앱으로 위장하여 유포되고 있으며 처음 구글 플레이 스토어에 등록될 때는 악성 기능이 없지만 설치 이후 소프트웨어 업데이트를 진행하면 악성기능을 탑재하게 된다.
TeaBot은 안드로이드 뱅킹 트로이목마로 2021년 초반에 처음 확인되었으며, 피해자의 크리덴셜과 SMS 메시지를 탈취하는 역할을 한다. TeaBot RAT 기능은 기기 화면의 라이브 스트리밍과 원격 작업 및 키로깅을 위한 Accessibility Services의 남용을 통해 이루어진다. 이를 통해 공격자는 피해자 기기에서 직접 계정을 탈취할 수 있다.
구글 플레이 스토어에 등록된 QR Code & Barcode Scanner 앱은 가짜 업데이트를 통해 TeaBot을 다운로드하는 드로퍼 역할을 한다.
다운로드되면 드로퍼는 즉시 업데이트를 요청하고, 두번째로 다운로드 하여 설치를 유도하는 파일이 TeaBot으로 탐지되었다. 다운로드 되는 파일은 feleanicusor 유저의 Github repo에서 다운로드되며, 해당 repo에는 2022년 2월 17일 부터 여러개의 TeaBot 샘플이 포함되어 있음이 확인되었다.
해당 악성코드는 기기 화면을 제어하는 권한과, 악의적인 명령을 수행하기 위한 실행 권한을 필요로 한다. 작년 발견된 샘플과 비교할때 큰 차이점은 TeaBot이 목표로 하는 어플리케이션 수가 60개에서 400개 이상으로 증가한 점이다. 또한 러시아어, 슬로바키어 및 중국어와 같은 새로운 언어를 지원하기 시작했다.
IOC
TeaBot Dropper App name : QR Code & Barcode - Scanner
TeaBot Dropper MD5 : 104046f5cf2fb5560acf541d4f9f6381
TeaBot App name : QR Code Scanner: Add-On
TeaBot MD5 : bf2ddaf430243461a8eab4aa1ed1e80d
TeaBot Package name: com.nnawozvvi.pamwhbawm
https://play.google[.]com/store/apps/details?id=com.scanner.buratoscanner
Github repo(proxy) : https://github[.]com/leroynathanielxnlw
Github repo(TeaBot sample) : https://github[.]com/feleanicusor
C2 : 185[.]215[.]113[.]31'깔짝할짝' 카테고리의 다른 글
| 2022-03-08 Tue (0) | 2022.03.08 |
|---|---|
| 2022-03-04 Fri (0) | 2022.03.04 |
| 2022-03-02 Wed (0) | 2022.03.02 |
| 2022-03-01 Tue (0) | 2022.03.01 |
| 2022-02-28 Mon (0) | 2022.02.28 |