Trojan TeaBot nhắm mục tiêu tới các ngân hàng châu Âu

15:00 | 10/06/2021 | HACKER / MALWARE

Các nhà nghiên cứu bảo mật của Cleafy mới đây đã phát hiện ra một trojan ngân hàng mới nhắm mục tiêu tới 60 ngân hàng ở Đức, Tây Ban Nha, Ý, Bỉ và Hà Lan. Biến thể phần mềm độc hại Android mới này được đặt tên là TeaBot.

Trojan TeaBot nhắm mục tiêu tới các ngân hàng châu Âu

Nhóm ứng phó sự cố và tình báo mối đe dọa của Cleafy đã phát hiện ra phần mềm độc hại này vào tháng 1/2021. Sau đó, các nhà nghiên cứu đã theo dõi và phát hiện thêm TeaBot được sử dụng trong các cuộc tấn công liên tục nhằm vào các ngân hàng của Italia cũng như các ngân hàng của Bỉ và Hà Lan vào tháng 5/2021.

TeaBot có thể phát trực tiếp màn hình của thiết bị và bắt chước tương tác của người dùng

Các nhà nghiên cứu giải thích rằng, mục tiêu chính của TeaBot là đánh cắp thông tin xác thực ngân hàng của nạn nhân cho các mục đích lừa đảo bằng cách lạm dụng dịch vụ trợ năng của Android.

TeaBot đạt được tương tác trong thời gian thực với thiết bị bị xâm nhập để bỏ qua đăng ký thiết bị mới và thực hiện tiếp quản tài khoản. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, kẻ tấn công có thể theo dõi trực tiếp màn hình thiết bị và tương tác với nó. Bên cạnh đó, TeaBot cũng có thể gửi, chặn và ẩn tin nhắn SMS để vượt qua giải pháp xác thực hai yếu tố.

Giống như các trojan ngân hàng Android khác như Anubis, Cerberus Alien, TeaBot phủ lên các ứng dụng di động của ngân hàng để lấy cắp thông tin đăng nhập và thẻ tín dụng. Nó cũng quan sát và chặn các hành động của người dùng và có thể thực hiện các hành động tùy ý. Tuy nhiên, điểm khác biệt là TeaBot chỉ theo dõi các ứng dụng ngân hàng được chọn. Do đó, nó tải các tải trọng cụ thể để thực hiện các cuộc tấn công lớp phủ chống lại các ngân hàng cụ thể.

Các nhà nghiên cứu lưu ý, TeaBot trong lần giao tiếp đầu tiên với máy chủ sẽ gửi danh sách các ứng dụng đã cài đặt để xác minh xem các thiết bị bị nhiễm có một hoặc nhiều ứng dụng được nhắm mục tiêu đã được cài đặt hay chưa.

Các nhà nghiên cứu của Cleafy cũng phát hiện ra rằng, TeaBot đã gửi thông tin tương tác của người dùng cho các ứng dụng ngân hàng cụ thể sau mỗi mười giây đến máy chủ điều khiển và ra lệnh. Chiến lược này đảm bảo rằng có rất ít lưu lượng truy cập giữa phần mềm độc hại Android, máy chủ điều khiển và ra lệnh. TeaBot mã hoá lưu lượng bằng thuật toán XOR.

Các nhà nghiên cứu cũng quan sát thấy rằng, TeaBot yêu cầu quyền đọc danh bạ và trạng thái điện thoại, sử dụng sinh trắc học của thiết bị, sửa đổi cài đặt âm thanh, hiển thị cửa sổ bật lên trên các ứng dụng khác và xóa các ứng dụng khác. Mã độc này cũng có khả năng ghi lại các lần gõ phím và đánh cắp mã xác thực của Google. Nó cũng có thể đánh cắp dữ liệu nhạy cảm hiển thị trên màn hình.

Ngoài ra, TeaBot tiến hành chụp ảnh màn hình của thiết bị bị nhiễm theo vòng lặp để tạo “Màn hình ảo” mỗi khi máy chủ gửi lệnh “start_client” với địa chỉ IP và PORT.

TeaBot cũng cài đặt như một dịch vụ Android để thực hiện các quy trình như giao tiếp với các máy chủ điều khiển và ra lệnh trong nền. Nó cũng yêu cầu quyền ghi đè tối ưu hóa pin của thiết bị để ngăn hệ điều hành Android chặn quá trình chạy nền liên tục.

TeaBot có giai đoạn cài đặt thứ cấp, cung cấp payload động giai đoạn thứ hai (.dex) có chứa mã độc hại. Sau khi được cấp các quyền cần thiết, trojan ngân hàng này cũng tự xóa biểu tượng khỏi thiết bị để che giấu sự lây nhiễm.

Trojan ngân hàng TeaBot vẫn đang được phát triển

Các nhà nghiên cứu đã phát hiện ra một số trục trặc trong hoạt động của TeaBot và cho rằng, phần mềm độc hại Android này vẫn còn đang trong giai đoạn phát triển ban đầu.

''Việc mã hóa một phần mạng và sự hiện diện của một số lệnh và lệnh không hoạt động (hoặc trong một số trường hợp thiếu các lệnh cho các ngân hàng được nhắm mục tiêu cụ thể) cho thấy rằng TeaBot vẫn đang được phát triển'', các nhà nghiên cứu tại Cleafy cho biết.

Ngoài ra, sự hiện diện của mã rác cũng cho thấy, các nhà phát triển TeaBot vẫn đang bổ sung thêm các tính năng. Nó được hỗ trợ thêm sáu ngôn ngữ là: Hà Lan, Anh, Pháp, Đức, Ý và Tây Ban Nha.

TeaBot giả mạo các ứng dụng

Hiện tại, các payload của TeaBot đã được phát hiện trong các ứng dụng độc hại khác được ngụy trang dưới dạng ứng dụng phát trực tuyến phim TeaTV. TeaBot cũng lây lan thông qua các chiến thuật kỹ nghệ xã hội bằng cách thuyết phục người dùng tải xuống các ứng dụng giả mạo. Do đó, trojan ngân hàng đã được đổi tên thành các ứng dụng phổ biến như VLC MediaPlayer, Mobdro, DHL, UPS và bpost.

Mặc dù, TeaBot hiện tập trung vào các ngân hàng châu Âu, nhưng những kẻ tấn công có thể dễ dàng sửa đổi để nhắm mục tiêu vào các ngân hàng khác trên toàn cầu.

Các chuyên gia khuyến cáo, các tổ chức nên kiểm tra nguồn gốc của các yêu cầu API trước khi chấp nhận các yêu cầu giao dịch API. Đồng thời, cần đảm bảo rằng các ứng dụng không chạy trên trình giả lập hoặc thời gian chạy bị xâm phạm, song song cần áp dụng các phương pháp xác thực mạnh mẽ.

Trần Thanh Tùng

‹ › ×

Tin liên quan

Phần mềm gián điệp FluBot đánh cắp mật khẩu người dùng Android ở Anh

11:00 | 29/05/2021

Trung tâm An ninh mạng Quốc gia của Vương quốc Anh vừa phát cảnh báo về phần mềm gián điệp mới FluBot đang cố gắng đánh cắp mật khẩu, thông tin cá nhân và truy cập vào danh sách liên hệ của người dùng Android.

Phát tán phần mềm độc hại Agent Tesla núp bóng đại dịch

20:00 | 30/06/2021

Trong bối cảnh đại dịch COVID-19 đang gây ra những ảnh hưởng nghiêm trọng đến các hoạt động trong đời sống xã hội. Tin tặc đã tận dụng triệt để các vấn đề liên quan đến tình hình dịch bệnh cũng như các kế hoạch tiêm vaccine để tăng cường các cuộc tấn công lừa đảo. Các cuộc tấn công này thường sử dụng các phương thức không mới, tuy nhiên khi núp bóng các vấn đề liên quan đến COVID-19 để làm mồi nhử thì chúng lại dễ dàng đạt được mục tiêu.

Tin tặc phát tán mã độc mới BIOPASS thông qua các website cờ bạc trực tuyến của Trung Quốc

16:00 | 19/07/2021

Mới đây, các nhà nghiên cứu an ninh mạng của Trend Micro vừa đưa ra cảnh báo về một loại Trojan truy cập từ xa (RAT) mới có tên là BIOPASS đang tấn công vào các công ty cờ bạc trực tuyến ở Trung Quốc dưới dạng một cuộc tấn công lỗ hổng.

Ủy ban châu Âu đề xuất các quy định mới về an ninh mạng và an ninh thông tin

07:00 | 06/04/2022

Ngày 22/3/2022, Ủy ban Châu Âu (EC) đã đề xuất các quy định mới để thiết lập các biện pháp an ninh mạng và an ninh thông tin chung trong các tổ chức, cơ quan, văn phòng và cơ quan của liên minh Châu Âu (EU).

Xenomorph - Trojan ngân hàng mới trên Android

14:00 | 07/03/2022

Mới đây, các nhà nghiên cứu tới từ công ty bảo mật ThreatFnai (Hà Lan) đã đưa ra cảnh báo về một trojan ngân hàng mới trên nền tảng Android, ghi nhận với hơn 50.000 lượt cài đặt và phát tán thông qua cửa hàng ứng dụng Google Play. Mã độc này nhắm mục tiêu thu thập các thông tin nhạy cảm của người dùng đến từ 56 ngân hàng khác nhau tại Châu Âu.

Trojan RansomEXX tấn công hệ thống Linux

08:00 | 03/02/2021

Trong thời gian gần đây, các chuyên gia phân tích mã độc đã phát hiện ra một loại Trojan mã hóa mới được thiết kế dưới dạng tệp thực thi ELF, nhằm mục đích mã hóa dữ liệu trên các máy tính sử dụng hệ điều hành Linux.

5 ứng dụng Android bị Trojan hoá theo dõi người dùng Pakistan

14:00 | 21/01/2021

Mới đây, các nhà nghiên cứu an ninh mạng đã kết thúc hoạt động của một phần mềm gián điệp nhắm mục tiêu người vào dùng ở Pakistan, sử dụng các phiên bản đã được trojan hóa trên các ứng dụng Android hợp pháp để thực hiện theo dõi và gián điệp bí mật.

Tin cùng chuyên mục

Phân tích chiến dịch khai thác lỗ hổng Windows SmartScreen để phân phối phần mềm độc hại DarkGate

07:00 | 08/04/2024

Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.

Lỗ hổng LogoFAIL có thể ảnh hưởng đến phần lớn các máy tính

16:00 | 18/12/2023

Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.