Được gọi là TeaBot (hay Anatsa), phần mềm độc hại này được cho là đang trong giai đoạn phát triển ban đầu, với các cuộc tấn công độc hại nhắm vào các ứng dụng tài chính bắt đầu vào cuối tháng 3/2021. Sau đó là một đợt lây nhiễm vào tuần đầu tiên của tháng 5/2021 tại các ngân hàng Bỉ và Hà Lan. Những dấu hiệu đầu tiên của hoạt động TeaBot đã xuất hiện vào tháng 01/2021.
Theo công ty an ninh mạng và phòng chống gian lận trực tuyến Cleafy (Ý) cho biết: “Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các kịch bản gian lận dựa trên danh sách các ngân hàng được xác định trước. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, tin tặc có thể có được hình ảnh phát trực tiếp của màn hình thiết bị (theo yêu cầu) và cũng có thể tương tác với nó thông qua Dịch vụ trợ năng”.
Một số ứng dụng Android giả mạo là các dịch vụ chuyển phát tệp và phương tiện như TeaTV, VLC Media Player, DHL và UPS hoạt động chậm rãi không chỉ tải payload ở giai đoạn hai mà còn buộc nạn nhân phải cấp cho nó quyền dịch vụ trợ năng.
Ứng dụng VLC Media Player giả mạo là các dịch vụ chuyển phát tệp và phương tiện
Trong liên kết cuối cùng của chuỗi tấn công, TeaBot khai thác quyền truy cập để đạt được tương tác thời gian thực với thiết bị bị xâm nhập, cho phép tin tặc ghi lại các lần gõ phím, ngoài việc chụp ảnh màn hình và đưa các lớp phủ độc hại lên trên màn hình đăng nhập của các ứng dụng ngân hàng để đánh cắp thông tin xác thực và thông tin thẻ tín dụng của người dùng.
Ngoài ra, TeaBot còn có khả năng tắt Google Play Protect, chặn tin nhắn SMS và truy cập mã 2FA của Google Authenticator. Thông tin thu thập được sau đó sẽ được trích xuất sau mỗi 10 giây đến một máy chủ từ xa do tin tặc điều khiển.
Gần đây, xu hướng phần mềm độc hại Android lạm dụng các dịch vụ trợ năng như một bước đệm để thực hiện hành vi đánh cắp dữ liệu đang có dấu hiệu gia tăng. Kể từ đầu năm 2021, ít nhất 03 họ phần mềm độc hại khác nhau (Oscorp, BRATA và FluBot) đã sử dụng tính năng này để giành toàn quyền kiểm soát các thiết bị nhiễm độc hại.
Điều thú vị là TeaBot đã sử dụng cùng một mồi nhử như của Flubot, bằng cách giả mạo là các ứng dụng vận chuyển vô hại để đánh lừa sự phân bổ và nằm trong tầm ngắm. Các đợt lây nhiễm FluBot gia tăng đã khiến Đức và Anh phải đưa ra cảnh báo vào tháng 4/2021, cảnh báo về các cuộc tấn công đang diễn ra thông qua tin nhắn SMS lừa đảo lừa người dùng cài đặt phần mềm gián điệp đánh cắp mật khẩu và các dữ liệu nhạy cảm khác.
Nguyễn Chân
(theo thehackernews.com)
08:00 | 03/02/2021
14:00 | 21/01/2021
14:00 | 22/02/2022
13:00 | 24/03/2022
15:00 | 10/06/2021
08:00 | 26/08/2021
17:00 | 02/07/2021
20:00 | 30/06/2021
14:00 | 15/08/2019
07:00 | 01/04/2019
15:00 | 03/06/2021
16:00 | 24/09/2018
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024