TeaBot Android Banking Phần mềm độc hại lại lây lan qua các ứng dụng trên Cửa hàng Google Play

Ứng dụng cửa hàng Google Play

Một trojan ngân hàng Android được thiết kế để đánh cắp thông tin xác thực và tin nhắn SMS đã được quan sát thấy một lần nữa lén lút vượt qua các biện pháp bảo vệ của Cửa hàng Google Play để nhắm mục tiêu người dùng của hơn 400 ứng dụng tài chính và ngân hàng, bao gồm cả những ứng dụng từ Nga, Trung Quốc và Mỹ.

“Khả năng RAT của TeaBot đạt được thông qua phát trực tiếp trên màn hình thiết bị (được yêu cầu theo yêu cầu) cộng với việc lạm dụng Dịch vụ trợ năng để tương tác từ xa và ghi khóa”, các nhà nghiên cứu của Cleafy cho biết trong một báo cáo. “Điều này cho phép Tác nhân Đe dọa (TA) thực hiện ATO (Tiếp quản tài khoản) trực tiếp từ điện thoại bị xâm nhập, còn được gọi là ‘Gian lận trên thiết bị.'

Còn được biết đến với cái tên Anatsa, TeaBot xuất hiện lần đầu tiên vào tháng 5 năm 2021, ngụy trang các chức năng độc hại của nó bằng cách giả dạng tài liệu PDF dường như vô hại và các ứng dụng quét mã QR được phân phối qua Cửa hàng Google Play chính thức thay vì các cửa hàng ứng dụng của bên thứ ba hoặc qua các trang web lừa đảo .

Các ứng dụng này, còn được gọi là ứng dụng nhỏ giọt, hoạt động như một ống dẫn để phân phối tải trọng giai đoạn hai, truy xuất chủng để kiểm soát các thiết bị bị nhiễm. Vào tháng 11 năm 2021, công ty bảo mật ThreatFnai của Hà Lan tiết lộ rằng họ đã xác định được sáu ống nhỏ giọt Anatsa trên Cửa hàng Play kể từ tháng 6 năm ngoái.

Xem tiếp:   Các lỗ hổng mạng di động mới ảnh hưởng đến tất cả các thế hệ di động kể từ 2G

Sau đó vào đầu tháng 1 này, các nhà nghiên cứu của Bitdefender đã xác định TeaBot ẩn náu trên thị trường ứng dụng Android chính thức là một “Ứng dụng quét mã QR – Ứng dụng quét”, đã đạt được hơn 100.000 lượt tải xuống trong vòng một tháng trước khi bị gỡ xuống.

Sau khi được cài đặt, modus operandi giống nhau: nhắc người dùng chấp nhận một bản cập nhật tiện ích bổ sung giả mạo, từ đó dẫn đến việc cài đặt ứng dụng thứ hai được lưu trữ trên GitHub thực sự chứa phần mềm độc hại TeaBot. Tuy nhiên, cần lưu ý rằng người dùng cần cho phép cài đặt từ các nguồn không xác định để chuỗi tấn công này thành công.

Giai đoạn cuối của quá trình lây nhiễm liên quan đến việc trojan ngân hàng tìm kiếm quyền của Dịch vụ trợ năng để nắm bắt thông tin nhạy cảm như thông tin đăng nhập và mã xác thực hai yếu tố với mục tiêu chiếm đoạt tài khoản để thực hiện hành vi gian lận trên thiết bị.

Các nhà nghiên cứu cho biết: “Trong vòng chưa đầy một năm, số lượng ứng dụng mà TeaBot nhắm mục tiêu đã tăng hơn 500%, từ 60 mục tiêu lên hơn 400”, các nhà nghiên cứu cho biết, phần mềm độc hại hiện tấn công một số ứng dụng liên quan đến ngân hàng cá nhân, bảo hiểm, ví .

Xem tiếp:   Tin tặc đã khai thác lỗ hổng trong 0 ngày trong nền tảng email Zimbra để theo dõi người dùng

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …