Nhóm ứng phó sự cố và tình báo mối đe dọa của Cleafy đã phát hiện ra phần mềm độc hại này vào tháng 1/2021. Sau đó, các nhà nghiên cứu đã theo dõi và phát hiện thêm TeaBot được sử dụng trong các cuộc tấn công liên tục nhằm vào các ngân hàng của Italia cũng như các ngân hàng của Bỉ và Hà Lan vào tháng 5/2021.
Các nhà nghiên cứu giải thích rằng, mục tiêu chính của TeaBot là đánh cắp thông tin xác thực ngân hàng của nạn nhân cho các mục đích lừa đảo bằng cách lạm dụng dịch vụ trợ năng của Android.
TeaBot đạt được tương tác trong thời gian thực với thiết bị bị xâm nhập để bỏ qua đăng ký thiết bị mới và thực hiện tiếp quản tài khoản. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, kẻ tấn công có thể theo dõi trực tiếp màn hình thiết bị và tương tác với nó. Bên cạnh đó, TeaBot cũng có thể gửi, chặn và ẩn tin nhắn SMS để vượt qua giải pháp xác thực hai yếu tố.
Giống như các trojan ngân hàng Android khác như Anubis, Cerberus Alien, TeaBot phủ lên các ứng dụng di động của ngân hàng để lấy cắp thông tin đăng nhập và thẻ tín dụng. Nó cũng quan sát và chặn các hành động của người dùng và có thể thực hiện các hành động tùy ý. Tuy nhiên, điểm khác biệt là TeaBot chỉ theo dõi các ứng dụng ngân hàng được chọn. Do đó, nó tải các tải trọng cụ thể để thực hiện các cuộc tấn công lớp phủ chống lại các ngân hàng cụ thể.
Các nhà nghiên cứu lưu ý, TeaBot trong lần giao tiếp đầu tiên với máy chủ sẽ gửi danh sách các ứng dụng đã cài đặt để xác minh xem các thiết bị bị nhiễm có một hoặc nhiều ứng dụng được nhắm mục tiêu đã được cài đặt hay chưa.
Các nhà nghiên cứu của Cleafy cũng phát hiện ra rằng, TeaBot đã gửi thông tin tương tác của người dùng cho các ứng dụng ngân hàng cụ thể sau mỗi mười giây đến máy chủ điều khiển và ra lệnh. Chiến lược này đảm bảo rằng có rất ít lưu lượng truy cập giữa phần mềm độc hại Android, máy chủ điều khiển và ra lệnh. TeaBot mã hoá lưu lượng bằng thuật toán XOR.
Các nhà nghiên cứu cũng quan sát thấy rằng, TeaBot yêu cầu quyền đọc danh bạ và trạng thái điện thoại, sử dụng sinh trắc học của thiết bị, sửa đổi cài đặt âm thanh, hiển thị cửa sổ bật lên trên các ứng dụng khác và xóa các ứng dụng khác. Mã độc này cũng có khả năng ghi lại các lần gõ phím và đánh cắp mã xác thực của Google. Nó cũng có thể đánh cắp dữ liệu nhạy cảm hiển thị trên màn hình.
Ngoài ra, TeaBot tiến hành chụp ảnh màn hình của thiết bị bị nhiễm theo vòng lặp để tạo “Màn hình ảo” mỗi khi máy chủ gửi lệnh “start_client” với địa chỉ IP và PORT.
TeaBot cũng cài đặt như một dịch vụ Android để thực hiện các quy trình như giao tiếp với các máy chủ điều khiển và ra lệnh trong nền. Nó cũng yêu cầu quyền ghi đè tối ưu hóa pin của thiết bị để ngăn hệ điều hành Android chặn quá trình chạy nền liên tục.
TeaBot có giai đoạn cài đặt thứ cấp, cung cấp payload động giai đoạn thứ hai (.dex) có chứa mã độc hại. Sau khi được cấp các quyền cần thiết, trojan ngân hàng này cũng tự xóa biểu tượng khỏi thiết bị để che giấu sự lây nhiễm.
Các nhà nghiên cứu đã phát hiện ra một số trục trặc trong hoạt động của TeaBot và cho rằng, phần mềm độc hại Android này vẫn còn đang trong giai đoạn phát triển ban đầu.
''Việc mã hóa một phần mạng và sự hiện diện của một số lệnh và lệnh không hoạt động (hoặc trong một số trường hợp thiếu các lệnh cho các ngân hàng được nhắm mục tiêu cụ thể) cho thấy rằng TeaBot vẫn đang được phát triển'', các nhà nghiên cứu tại Cleafy cho biết.
Ngoài ra, sự hiện diện của mã rác cũng cho thấy, các nhà phát triển TeaBot vẫn đang bổ sung thêm các tính năng. Nó được hỗ trợ thêm sáu ngôn ngữ là: Hà Lan, Anh, Pháp, Đức, Ý và Tây Ban Nha.
TeaBot giả mạo các ứng dụng
Hiện tại, các payload của TeaBot đã được phát hiện trong các ứng dụng độc hại khác được ngụy trang dưới dạng ứng dụng phát trực tuyến phim TeaTV. TeaBot cũng lây lan thông qua các chiến thuật kỹ nghệ xã hội bằng cách thuyết phục người dùng tải xuống các ứng dụng giả mạo. Do đó, trojan ngân hàng đã được đổi tên thành các ứng dụng phổ biến như VLC MediaPlayer, Mobdro, DHL, UPS và bpost.
Mặc dù, TeaBot hiện tập trung vào các ngân hàng châu Âu, nhưng những kẻ tấn công có thể dễ dàng sửa đổi để nhắm mục tiêu vào các ngân hàng khác trên toàn cầu.
Các chuyên gia khuyến cáo, các tổ chức nên kiểm tra nguồn gốc của các yêu cầu API trước khi chấp nhận các yêu cầu giao dịch API. Đồng thời, cần đảm bảo rằng các ứng dụng không chạy trên trình giả lập hoặc thời gian chạy bị xâm phạm, song song cần áp dụng các phương pháp xác thực mạnh mẽ.
Trần Thanh Tùng
11:00 | 29/05/2021
20:00 | 30/06/2021
16:00 | 19/07/2021
07:00 | 06/04/2022
14:00 | 07/03/2022
08:00 | 03/02/2021
14:00 | 21/01/2021
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024