Trojan ngân hàng TeaBot được phát hiện lần đầu tiên vào tháng 5 năm 2021. Tại lần đó, nó nhắm mục tiêu vào các ngân hàng châu Âu và đánh cắp mã xác thực hai yếu tố (2FA) được gửi bằng tin nhắn văn bản. Tuy nhiên, một báo cáo về phần mềm độc hại và nền tảng phòng chống gian lận trực tuyến Cleafy hiện tuyên bố rằng phần mềm độc hại đã phát triển và hiện đang được sử dụng để nhắm mục tiêu người dùng ở Nga, Hồng Kông và Hoa Kỳ .
Trong một phát hiện gần đây, các nhà nghiên cứu bảo mật tại Cleafy đã nhận thấy số lượng nạn nhân của trojan này tăng vọt, nguyên nhân là do tải nhầm phần mềm độc hại có tên gọi QR Code & Barcode - Scanner trên Google Play Store (CH Play). Trước khi bị gỡ khỏi kho ứng dụng, QR Code & Barcode - Scanner đã có hơn 10.000 lượt tải trên Play Store. Mặc dù thoạt nhìn ứng dụng có vẻ hợp pháp nhưng nó đã yêu cầu quyền tải xuống ứng dụng “Máy quét mã QR: Thêm bật” thứ hai, bao gồm các mẫu TeaBot sau khi tải xuống.
Khi ứng dụng thứ hai được cài đặt, ứng dụng này đã yêu cầu quyền xem và kiểm soát màn hình của thiết bị để lấy dữ liệu người dùng nhạy cảm như SMS, thông tin đăng nhập và mã 2FA. Hơn nữa, trojan cũng ghi lại các mục nhập bàn phím của người dùng, giống như các phần mềm độc hại ngân hàng khác, để lấy thông tin nhạy cảm.
Vì ứng dụng QR Code & Barcode-Scanner trông hợp pháp, hầu hết các đánh giá của người dùng đều tích cực. Ngoài ra, ứng dụng đã tải xuống trojan TeaBot dưới dạng bản cập nhật trong ứng dụng và do đó, vẫn “gần như không thể phát hiện được” bởi nhiều giải pháp chống vi-rút dành cho Android.
Trước đây, trojan TeaBot được phát tán qua các chiến dịch lừa đảo qua SMS bằng cách dụ người dùng bằng các ứng dụng Android phổ biến như VLC Media Player, TeaTV, DHL hoặc UPS. Các ứng dụng này hoạt động như một “ống nhỏ giọt” cho trojan TeaBot độc hại, có nghĩa là chúng có vẻ là ứng dụng hợp pháp nhưng đã phân phối tải trọng độc hại giai đoạn hai được cài đặt TeaBot trên thiết bị của người dùng sử dụng ứng dụng.
Phiên bản mới của trojan TeaBot có thể nhắm mục tiêu đến các ứng dụng ngân hàng, bảo hiểm, ví tiền điện tử và sàn giao dịch tiền điện tử. Theo cảnh báo từ Cleafy, TeaBot có thể nhắm mục tiêu đến hơn 400 ứng dụng khác nhau được cài đặt trên hệ thống mục tiêu. QR Code & Barcode - Scanner hiện đã bị Google xóa khỏi kho ứng dụng, nhưng người dùng vẫn cần phải xoá chúng khỏi thiết bị nếu đã tải về trước đó.