– TeaBot Remote Access Trojan (RAT) telah berkembang, menghasilkan peningkatan besar di kedua target (Aplikasi dan Banking) dan menyebar ke seluruh dunia.

Pada 1 Maret, tim peneliti Cleafy mengatakan TeaBot sekarang menargetkan lebih dari 400 aplikasi, beralih dari fokus sebelumnya pada “smishing” ke taktik yang lebih maju.

Dalam kasus TeaBot, Upgrade/Dropper palsu akan meminta izin untuk mengunduh aplikasi kedua, “Pemindai Kode QR: Add-On,” yang berisi RAT.

Perlu diketahui, “smishing” digunakan untuk mengkompromikan smartphone melalui pesan teks spam yang berisi tautan berbahaya.

Sering terjadi bahwa tautan ini berpura-pura berasal dari bank Pengguna, jaringan media sosial, atau perusahaan jasa pengiriman.

Baca Juga: Trojan Perbankan TeaBot dan FluBot Muncul Kembali, Targetkan Perangkat Android

Telah ditemukan oleh Cleafy pada Februari, pada sebuah aplikasi yang diterbitkan ke Google Play yaitu”QR Code & Barcode Scanner” bahwa telah melayani TeaBot kepada pengguna .

Setelah diinstal, TeaBot pertama-tama akan menyalahgunakan layanan Aksesibilitas OS Android.

Meminta izin yang memungkinkan malware melakukan aktivitas termasuk keylogging dan Hacking perangkat jarak jauh.

Selanjutnya, TeaBot akan mengambil tangkapan layar dan memantau layar handset untuk mencuri kredensial termasuk informasi akun dan kode otentikasi dua faktor (2FA).

Cleafy mengatakan malware itu juga berhasil menyusup ke repositori resmi Android melalui aplikasi dropper.

Baca Juga: Trojan Perbankan TeaBot dan FluBot Muncul Kembali, Targetkan Perangkat Android

“Karena aplikasi Dropper yang didistribusikan di Google Play Store resmi hanya meminta sedikit izin dan aplikasi berbahaya diunduh di lain waktu, aplikasi ini dapat membingungkan di antara aplikasi yang sah dan hampir tidak terdeteksi oleh solusi AV umum,” Cleafy memperingatkan .

TeaBot sudah ada pada awal tahun 2021, malware, juga dikenal sebagai Toddler/Anatsa, didistribusikan melalui smishing dan memiliki daftar hanya 60 umpan.

TeaBot telah bermigrasi dari Eropa untuk memasukkan negara-negara baru, seperti Rusia, AS, dan Hong Kong, dan menggunakan daftar target yang diperluas di luar layanan online bank.

Telah dilakukan penelitian yang dilakukan PRODAFT pada Juli 2021 dengan mendapatkan TeaBot telah dikonfigurasi untuk menyerang “puluhan” bank Eropa, serangan yang berhasil dilacak ke 18 organisasi keuangan.

Membuat para peneliti menduga bahwa kampanye phishing berbasis SMS yang berhasil adalah penyebabnya.

Pertukaran mata uang kripto, dan penyedia asuransi digital kini juga ditiru dalam upaya phishing.