Được gọi là TeaBot (hay Anatsa), phần mềm độc hại này được cho là đang trong giai đoạn phát triển ban đầu, với các cuộc tấn công độc hại nhắm vào các ứng dụng tài chính bắt đầu vào cuối tháng 3/2021. Sau đó là một đợt lây nhiễm vào tuần đầu tiên của tháng 5/2021 tại các ngân hàng Bỉ và Hà Lan. Những dấu hiệu đầu tiên của hoạt động TeaBot đã xuất hiện vào tháng 01/2021.
Theo công ty an ninh mạng và phòng chống gian lận trực tuyến Cleafy (Ý) cho biết: “Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các kịch bản gian lận dựa trên danh sách các ngân hàng được xác định trước. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, tin tặc có thể có được hình ảnh phát trực tiếp của màn hình thiết bị (theo yêu cầu) và cũng có thể tương tác với nó thông qua Dịch vụ trợ năng”.
Một số ứng dụng Android giả mạo là các dịch vụ chuyển phát tệp và phương tiện như TeaTV, VLC Media Player, DHL và UPS hoạt động chậm rãi không chỉ tải payload ở giai đoạn hai mà còn buộc nạn nhân phải cấp cho nó quyền dịch vụ trợ năng.
Ứng dụng VLC Media Player giả mạo là các dịch vụ chuyển phát tệp và phương tiện
Trong liên kết cuối cùng của chuỗi tấn công, TeaBot khai thác quyền truy cập để đạt được tương tác thời gian thực với thiết bị bị xâm nhập, cho phép tin tặc ghi lại các lần gõ phím, ngoài việc chụp ảnh màn hình và đưa các lớp phủ độc hại lên trên màn hình đăng nhập của các ứng dụng ngân hàng để đánh cắp thông tin xác thực và thông tin thẻ tín dụng của người dùng.
Ngoài ra, TeaBot còn có khả năng tắt Google Play Protect, chặn tin nhắn SMS và truy cập mã 2FA của Google Authenticator. Thông tin thu thập được sau đó sẽ được trích xuất sau mỗi 10 giây đến một máy chủ từ xa do tin tặc điều khiển.
Gần đây, xu hướng phần mềm độc hại Android lạm dụng các dịch vụ trợ năng như một bước đệm để thực hiện hành vi đánh cắp dữ liệu đang có dấu hiệu gia tăng. Kể từ đầu năm 2021, ít nhất 03 họ phần mềm độc hại khác nhau (Oscorp, BRATA và FluBot) đã sử dụng tính năng này để giành toàn quyền kiểm soát các thiết bị nhiễm độc hại.
Điều thú vị là TeaBot đã sử dụng cùng một mồi nhử như của Flubot, bằng cách giả mạo là các ứng dụng vận chuyển vô hại để đánh lừa sự phân bổ và nằm trong tầm ngắm. Các đợt lây nhiễm FluBot gia tăng đã khiến Đức và Anh phải đưa ra cảnh báo vào tháng 4/2021, cảnh báo về các cuộc tấn công đang diễn ra thông qua tin nhắn SMS lừa đảo lừa người dùng cài đặt phần mềm gián điệp đánh cắp mật khẩu và các dữ liệu nhạy cảm khác.
Nguyễn Chân
(theo thehackernews.com)
08:00 | 03/02/2021
14:00 | 21/01/2021
14:00 | 22/02/2022
13:00 | 24/03/2022
15:00 | 10/06/2021
08:00 | 26/08/2021
17:00 | 02/07/2021
20:00 | 30/06/2021
14:00 | 15/08/2019
07:00 | 01/04/2019
15:00 | 03/06/2021
16:00 | 24/09/2018
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024