Được gọi là TeaBot (hay Anatsa), phần mềm độc hại này được cho là đang trong giai đoạn phát triển ban đầu, với các cuộc tấn công độc hại nhắm vào các ứng dụng tài chính bắt đầu vào cuối tháng 3/2021. Sau đó là một đợt lây nhiễm vào tuần đầu tiên của tháng 5/2021 tại các ngân hàng Bỉ và Hà Lan. Những dấu hiệu đầu tiên của hoạt động TeaBot đã xuất hiện vào tháng 01/2021.
Theo công ty an ninh mạng và phòng chống gian lận trực tuyến Cleafy (Ý) cho biết: “Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các kịch bản gian lận dựa trên danh sách các ngân hàng được xác định trước. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, tin tặc có thể có được hình ảnh phát trực tiếp của màn hình thiết bị (theo yêu cầu) và cũng có thể tương tác với nó thông qua Dịch vụ trợ năng”.
Một số ứng dụng Android giả mạo là các dịch vụ chuyển phát tệp và phương tiện như TeaTV, VLC Media Player, DHL và UPS hoạt động chậm rãi không chỉ tải payload ở giai đoạn hai mà còn buộc nạn nhân phải cấp cho nó quyền dịch vụ trợ năng.
Ứng dụng VLC Media Player giả mạo là các dịch vụ chuyển phát tệp và phương tiện
Trong liên kết cuối cùng của chuỗi tấn công, TeaBot khai thác quyền truy cập để đạt được tương tác thời gian thực với thiết bị bị xâm nhập, cho phép tin tặc ghi lại các lần gõ phím, ngoài việc chụp ảnh màn hình và đưa các lớp phủ độc hại lên trên màn hình đăng nhập của các ứng dụng ngân hàng để đánh cắp thông tin xác thực và thông tin thẻ tín dụng của người dùng.
Ngoài ra, TeaBot còn có khả năng tắt Google Play Protect, chặn tin nhắn SMS và truy cập mã 2FA của Google Authenticator. Thông tin thu thập được sau đó sẽ được trích xuất sau mỗi 10 giây đến một máy chủ từ xa do tin tặc điều khiển.
Gần đây, xu hướng phần mềm độc hại Android lạm dụng các dịch vụ trợ năng như một bước đệm để thực hiện hành vi đánh cắp dữ liệu đang có dấu hiệu gia tăng. Kể từ đầu năm 2021, ít nhất 03 họ phần mềm độc hại khác nhau (Oscorp, BRATA và FluBot) đã sử dụng tính năng này để giành toàn quyền kiểm soát các thiết bị nhiễm độc hại.
Điều thú vị là TeaBot đã sử dụng cùng một mồi nhử như của Flubot, bằng cách giả mạo là các ứng dụng vận chuyển vô hại để đánh lừa sự phân bổ và nằm trong tầm ngắm. Các đợt lây nhiễm FluBot gia tăng đã khiến Đức và Anh phải đưa ra cảnh báo vào tháng 4/2021, cảnh báo về các cuộc tấn công đang diễn ra thông qua tin nhắn SMS lừa đảo lừa người dùng cài đặt phần mềm gián điệp đánh cắp mật khẩu và các dữ liệu nhạy cảm khác.
Nguyễn Chân
(theo thehackernews.com)
08:00 | 03/02/2021
14:00 | 21/01/2021
14:00 | 22/02/2022
13:00 | 24/03/2022
15:00 | 10/06/2021
08:00 | 26/08/2021
17:00 | 02/07/2021
20:00 | 30/06/2021
14:00 | 15/08/2019
07:00 | 01/04/2019
15:00 | 03/06/2021
16:00 | 24/09/2018
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
17:00 | 08/11/2023
Đầu năm nay, một nhà cung cấp phần mềm đã bị xâm nhập bởi phần mềm độc hại Lazarus được phát tán thông qua phần mềm hợp pháp chưa được vá. Điều đáng chú ý là những lỗ hổng phần mềm này không mới và bất chấp cảnh báo cũng như bản vá từ nhà cung cấp, nhiều hệ thống của nhà cung cấp vẫn tiếp tục sử dụng phần mềm có lỗi, cho phép kẻ đe dọa khai thác chúng. Trong bài viết này sẽ phân tích chiến dịch mới của Lazarus dựa trên báo cáo mới đây của hãng bảo mật Kaspersky.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024