Các chuyên gia cảnh báo về một Android banking trojan mới đánh cắp thông tin đăng nhập của người dùng.



Các nhà nghiên cứu an ninh mạng hôm thứ Hai đã tiết lộ một  Android Trojan  mới chiếm đoạt thông tin đăng nhập và tin nhắn SMS của người dùng để tạo điều kiện cho các hoạt động gian lận gây bất lợi các ngân hàng ở Tây Ban Nha, Đức, Ý, Bỉ và Hà Lan.

Được gọi là “TeaBot” (hoặc Anatsa), malware được cho là đang trong mới ở giai đoạn phát triển ban đầu, với các cuộc tấn công độc hại nhắm mục tiêu vào các ứng dụng tài chính bắt đầu vào cuối tháng 3 năm 2021, theo sau đó là một đợt lây nhiễm vào tuần đầu tiên của tháng 5 chống lại các ngân hàng ở Bỉ và Hà Lan. Dấu hiệu đầu tiên về hoạt động của TeaBot đã xuất hiện vào tháng Giêng.

“Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các kịch bản gian lận dựa trên danh sách các ngân hàng được định sẵn”, công ty an ninh mạng và phòng chống gian lận trực tuyến Cleafy của Ý cho biết trong một bài viết hôm thứ Hai. “Sau khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, những kẻ tấn công có thể có được xâm nhập trực tiếp của màn hình thiết bị (theo yêu cầu) và cũng có thể tương tác với nó thông qua Accessibility Services.”

Ứng dụng giả mạo Android, giả mạo là các dịch vụ chuyển phát gói và phương tiện như TeaTV, VLC Media Player, DHL và UPS, hoạt động như một dropper không chỉ tải payload ở giai đoạn hai mà còn đưa nạn nhân vào tình thế phải cấp cho nó quyền dịch vụ trợ năng.

Trong liên kết cuối cùng của chuỗi tấn công, TeaBot khai thác quyền truy cập để đạt được tương tác thời gian thực với thiết bị đã bị xâm nhập, cho phép hacker ghi lại các lần gõ phím, ngoài việc chụp ảnh màn hình và còn đưa các bảng nhập thông tin giả mạo độc hại lên đầu màn hình đăng nhập của các ứng dụng ngân hàng để đánh cắp thông tin xác thực và thông tin thẻ tín dụng.

Các khả năng khác của TeaBot bao gồm tắt Google Play Protect, chặn tin nhắn SMS và truy cập mã 2FA của Google Authenticator. Thông tin thu thập được sau đó sẽ được chuyển đến sau mỗi 10 giây đến một máy chủ từ xa do hacker kiểm soát.

Android malware lạm dụng các dịch vụ trợ năng như một bước đệm để thực hiện hành vi đánh cắp dữ liệu đã nhận thấy ​​sự gia tăng trong những tháng gần đây. Kể từ đầu năm, ít nhất ba họ phần mềm độc hại khác nhau – Oscorp, BRATA và FluBot – đã sử dụng điều này này để giành toàn quyền kiểm soát các thiết bị bị nhiễm.

Phishing Via Internet Illustration 172790 Vector Art at Vecteezy

Điều thú vị là việc TeaBot sử dụng cùng một mồi nhử như của Flubot bằng cách đóng giả là các ứng dụng vận chuyển nhìn như là vô hại có thể là một nỗ lực đánh lừa Attribution và hoạt động cực kì âm thầm. Các đợt lây nhiễm FluBot gia tăng đã khiến Đức và Anh đưa ra cảnh báo vào tháng trước, cảnh báo về các cuộc tấn công đang diễn ra thông qua tin nhắn SMS lừa đảo lừa người dùng cài đặt “phần mềm gián điệp đánh cắp mật khẩu và các dữ liệu nhạy cảm khác.”

nguồn: thehackernews

 



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật