TeaBot Android Banking Phần mềm độc hại lại lây lan qua các ứng dụng trên Cửa hàng Google Play

Ứng dụng cửa hàng Google Play

Một Android được thiết kế để đánh cắp thông tin xác thực và tin nhắn SMS đã được quan sát thấy một lần nữa lén lút vượt qua các biện pháp bảo vệ của để nhắm mục tiêu người dùng của hơn 400 ứng dụng tài chính và ngân hàng, bao gồm cả những ứng dụng từ Nga, Trung Quốc và Mỹ.

“Khả năng RAT của TeaBot đạt được thông qua phát trực tiếp trên màn hình thiết bị (được yêu cầu theo yêu cầu) cộng với việc lạm dụng Dịch vụ trợ năng để tương tác từ xa và ghi khóa”, các nhà nghiên cứu của Cleafy cho biết trong một báo cáo. “Điều này cho phép Tác nhân Đe dọa (TA) thực hiện ATO (Tiếp quản tài khoản) trực tiếp từ điện thoại bị xâm nhập, còn được gọi là ‘Gian lận trên thiết bị.’

Còn được biết đến với cái tên Anatsa, TeaBot xuất hiện lần đầu tiên vào tháng 5 năm 2021, ngụy trang các chức năng độc hại của nó bằng cách giả dạng tài liệu PDF dường như vô hại và các ứng dụng quét mã QR được phân phối qua Cửa hàng Google Play chính thức thay vì các cửa hàng ứng dụng của bên thứ ba hoặc qua các trang web lừa đảo .

Các ứng dụng này, còn được gọi là ứng dụng nhỏ giọt, hoạt động như một ống dẫn để phân phối tải trọng giai đoạn hai, truy xuất chủng phần mềm độc hại để kiểm soát các thiết bị bị nhiễm. Vào tháng 11 năm 2021, công ty bảo mật ThreatFnai của Hà Lan tiết lộ rằng họ đã xác định được sáu ống nhỏ giọt Anatsa trên Cửa hàng Play kể từ tháng 6 năm ngoái.

Xem tiếp:   Các lỗ hổng mạng di động mới ảnh hưởng đến tất cả các thế hệ di động kể từ 2G

Sau đó vào đầu tháng 1 này, các nhà nghiên cứu của Bitdefender đã xác định TeaBot ẩn náu trên thị trường ứng dụng Android chính thức là một “Ứng dụng quét mã QR – Ứng dụng quét”, đã đạt được hơn 100.000 lượt tải xuống trong vòng một tháng trước khi bị gỡ xuống.

Phiên bản mới nhất của TeaBot dropper được Cleafy phát hiện vào ngày 21 tháng 2 năm 2022, cũng là một ứng dụng đọc mã QR có tên “Mã QR & Mã vạch – Máy quét” đã được tải xuống khoảng 10.000 lần từ Cửa hàng Play.

Sau khi được cài đặt, modus operandi giống nhau: nhắc người dùng chấp nhận một bản cập nhật tiện ích bổ sung giả mạo, từ đó dẫn đến việc cài đặt ứng dụng thứ hai được lưu trữ trên GitHub thực sự chứa phần mềm độc hại TeaBot. Tuy nhiên, cần lưu ý rằng người dùng cần cho phép cài đặt từ các nguồn không xác định để chuỗi tấn công này thành công.

Giai đoạn cuối của quá trình lây nhiễm liên quan đến việc trojan ngân hàng tìm kiếm quyền của Dịch vụ trợ năng để nắm bắt thông tin nhạy cảm như thông tin đăng nhập và mã xác thực hai yếu tố với mục tiêu chiếm đoạt tài khoản để thực hiện hành vi gian lận trên thiết bị.

Các nhà nghiên cứu cho biết: “Trong vòng chưa đầy một năm, số lượng ứng dụng mà TeaBot nhắm mục tiêu đã tăng hơn 500%, từ 60 mục tiêu lên hơn 400”, các nhà nghiên cứu cho biết, phần mềm độc hại hiện tấn công một số ứng dụng liên quan đến ngân hàng cá nhân, bảo hiểm, ví và trao đổi tiền điện tử.

Xem tiếp:   Tin tặc đã khai thác lỗ hổng trong 0 ngày trong nền tảng email Zimbra để theo dõi người dùng

.

Related Posts

Check Also

Lỗ hổng BMC nghiêm trọng ‘sự cố’ ảnh hưởng đến máy chủ QCT được sử dụng trong trung tâm dữ liệu

Theo một nghiên cứu mới được công bố hôm nay, các máy chủ của Công …