Nhóm ứng phó sự cố và tình báo mối đe dọa của Cleafy đã phát hiện ra này vào tháng 1/2021. Sau đó, các nhà nghiên cứu đã theo dõi và phát hiện thêm TeaBot được sử dụng trong các cuộc tấn công liên tục nhằm vào các ngân hàng của Italia cũng như các ngân hàng của Bỉ và Hà Lan vào tháng 5/2021.
Các nhà nghiên cứu giải thích rằng, mục tiêu chính của TeaBot là đánh cắp thông tin xác thực ngân hàng của nạn nhân cho các mục đích lừa đảo bằng cách lạm dụng dịch vụ trợ năng của Android.
TeaBot đạt được tương tác trong thời gian thực với thiết bị bị xâm nhập để bỏ qua đăng ký thiết bị mới và thực hiện tiếp quản tài khoản. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, kẻ tấn công có thể theo dõi trực tiếp màn hình thiết bị và tương tác với nó. Bên cạnh đó, TeaBot cũng có thể gửi, chặn và ẩn tin nhắn SMS để vượt qua giải pháp xác thực hai yếu tố.
Giống như các trojan ngân hàng Android khác như Anubis, Cerberus Alien, TeaBot phủ lên các ứng dụng di động của ngân hàng để lấy cắp thông tin đăng nhập và thẻ tín dụng. Nó cũng quan sát và chặn các hành động của người dùng và có thể thực hiện các hành động tùy ý. Tuy nhiên, điểm khác biệt là TeaBot chỉ theo dõi các ứng dụng ngân hàng được chọn. Do đó, nó tải các tải trọng cụ thể để thực hiện các cuộc tấn công lớp phủ chống lại các ngân hàng cụ thể.
Các nhà nghiên cứu lưu ý, TeaBot trong lần giao tiếp đầu tiên với máy chủ sẽ gửi danh sách các ứng dụng đã cài đặt để xác minh xem các thiết bị bị nhiễm có một hoặc nhiều ứng dụng được nhắm mục tiêu đã được cài đặt hay chưa.
Các nhà nghiên cứu của Cleafy cũng phát hiện ra rằng, TeaBot đã gửi thông tin tương tác của người dùng cho các ứng dụng ngân hàng cụ thể sau mỗi mười giây đến máy chủ điều khiển và ra lệnh. Chiến lược này đảm bảo rằng có rất ít lưu lượng truy cập giữa phần mềm độc hại Android, máy chủ điều khiển và ra lệnh. TeaBot mã hoá lưu lượng bằng thuật toán XOR.
Các nhà nghiên cứu cũng quan sát thấy rằng, TeaBot yêu cầu quyền đọc danh bạ và trạng thái điện thoại, sử dụng sinh trắc học của thiết bị, sửa đổi cài đặt âm thanh, hiển thị cửa sổ bật lên trên các ứng dụng khác và xóa các ứng dụng khác. Mã độc này cũng có khả năng ghi lại các lần gõ phím và đánh cắp mã xác thực của Google. Nó cũng có thể đánh cắp dữ liệu nhạy cảm hiển thị trên màn hình.
Ngoài ra, TeaBot tiến hành chụp ảnh màn hình của thiết bị bị nhiễm theo vòng lặp để tạo “Màn hình ảo” mỗi khi máy chủ gửi lệnh “start_client” với địa chỉ IP và PORT.
TeaBot cũng cài đặt như một dịch vụ Android để thực hiện các quy trình như giao tiếp với các máy chủ điều khiển và ra lệnh trong nền. Nó cũng yêu cầu quyền ghi đè tối ưu hóa pin của thiết bị để ngăn hệ điều hành Android chặn quá trình chạy nền liên tục.
TeaBot có giai đoạn cài đặt thứ cấp, cung cấp payload động giai đoạn thứ hai (.dex) có chứa mã độc hại. Sau khi được cấp các quyền cần thiết, trojan ngân hàng này cũng tự xóa biểu tượng khỏi thiết bị để che giấu sự lây nhiễm.
Các nhà nghiên cứu đã phát hiện ra một số trục trặc trong hoạt động của TeaBot và cho rằng, phần mềm độc hại Android này vẫn còn đang trong giai đoạn phát triển ban đầu.
''Việc mã hóa một phần mạng và sự hiện diện của một số lệnh và lệnh không hoạt động (hoặc trong một số trường hợp thiếu các lệnh cho các ngân hàng được nhắm mục tiêu cụ thể) cho thấy rằng TeaBot vẫn đang được phát triển'', các nhà nghiên cứu tại Cleafy cho biết.
Ngoài ra, sự hiện diện của mã rác cũng cho thấy, các nhà phát triển TeaBot vẫn đang bổ sung thêm các tính năng. Nó được hỗ trợ thêm sáu ngôn ngữ là: Hà Lan, Anh, Pháp, Đức, Ý và Tây Ban Nha.
TeaBot giả mạo các ứng dụng
Hiện tại, các payload của TeaBot đã được phát hiện trong các ứng dụng độc hại khác được ngụy trang dưới dạng ứng dụng phát trực tuyến phim TeaTV. TeaBot cũng lây lan thông qua các chiến thuật kỹ nghệ xã hội bằng cách thuyết phục người dùng tải xuống các ứng dụng giả mạo. Do đó, trojan ngân hàng đã được đổi tên thành các ứng dụng phổ biến như VLC MediaPlayer, Mobdro, DHL, UPS và bpost.
Mặc dù, TeaBot hiện tập trung vào các ngân hàng châu Âu, nhưng những kẻ tấn công có thể dễ dàng sửa đổi để nhắm mục tiêu vào các ngân hàng khác trên toàn cầu.
Các chuyên gia khuyến cáo, các tổ chức nên kiểm tra nguồn gốc của các yêu cầu API trước khi chấp nhận các yêu cầu giao dịch API. Đồng thời, cần đảm bảo rằng các ứng dụng không chạy trên trình giả lập hoặc thời gian chạy bị xâm phạm, song song cần áp dụng các phương pháp xác thực mạnh mẽ.
Trần Thanh Tùng
11:00 | 29/05/2021
20:00 | 30/06/2021
16:00 | 19/07/2021
07:00 | 06/04/2022
14:00 | 07/03/2022
08:00 | 03/02/2021
14:00 | 21/01/2021
09:00 | 02/08/2024
Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.
15:00 | 15/07/2024
Các nhà nghiên cứu bảo mật tới từ công ty an ninh mạng XLab (Slovenia) mới đây đã phát hiện ra một mạng botnet mới có tên Zergeca được viết bằng ngôn ngữ Golang, có khả năng thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) một cách mạnh mẽ.
10:00 | 07/06/2024
Phần mềm ghi hình tòa án JAVS là một giải pháp được thiết kế để mang lại khả năng ghi âm kỹ thuật số và tích hợp A/V cho các tòa án, phòng họp và các môi trường tương tự khác. Nó được tạo ra bởi Justice AV Solutions (JAVS), một công ty chuyên về công nghệ âm thanh, hình ảnh cho các tòa án và chính phủ.
09:00 | 21/05/2024
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024
