Nhóm ứng phó sự cố và tình báo mối đe dọa của Cleafy đã phát hiện ra phần mềm độc hại này vào tháng 1/2021. Sau đó, các nhà nghiên cứu đã theo dõi và phát hiện thêm TeaBot được sử dụng trong các cuộc tấn công liên tục nhằm vào các ngân hàng của Italia cũng như các ngân hàng của Bỉ và Hà Lan vào tháng 5/2021.
Các nhà nghiên cứu giải thích rằng, mục tiêu chính của TeaBot là đánh cắp thông tin xác thực ngân hàng của nạn nhân cho các mục đích lừa đảo bằng cách lạm dụng dịch vụ trợ năng của Android.
TeaBot đạt được tương tác trong thời gian thực với thiết bị bị xâm nhập để bỏ qua đăng ký thiết bị mới và thực hiện tiếp quản tài khoản. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, kẻ tấn công có thể theo dõi trực tiếp màn hình thiết bị và tương tác với nó. Bên cạnh đó, TeaBot cũng có thể gửi, chặn và ẩn tin nhắn SMS để vượt qua giải pháp xác thực hai yếu tố.
Giống như các trojan ngân hàng Android khác như Anubis, Cerberus Alien, TeaBot phủ lên các ứng dụng di động của ngân hàng để lấy cắp thông tin đăng nhập và thẻ tín dụng. Nó cũng quan sát và chặn các hành động của người dùng và có thể thực hiện các hành động tùy ý. Tuy nhiên, điểm khác biệt là TeaBot chỉ theo dõi các ứng dụng ngân hàng được chọn. Do đó, nó tải các tải trọng cụ thể để thực hiện các cuộc tấn công lớp phủ chống lại các ngân hàng cụ thể.
Các nhà nghiên cứu lưu ý, TeaBot trong lần giao tiếp đầu tiên với máy chủ sẽ gửi danh sách các ứng dụng đã cài đặt để xác minh xem các thiết bị bị nhiễm có một hoặc nhiều ứng dụng được nhắm mục tiêu đã được cài đặt hay chưa.
Các nhà nghiên cứu của Cleafy cũng phát hiện ra rằng, TeaBot đã gửi thông tin tương tác của người dùng cho các ứng dụng ngân hàng cụ thể sau mỗi mười giây đến máy chủ điều khiển và ra lệnh. Chiến lược này đảm bảo rằng có rất ít lưu lượng truy cập giữa phần mềm độc hại Android, máy chủ điều khiển và ra lệnh. TeaBot mã hoá lưu lượng bằng thuật toán XOR.
Các nhà nghiên cứu cũng quan sát thấy rằng, TeaBot yêu cầu quyền đọc danh bạ và trạng thái điện thoại, sử dụng sinh trắc học của thiết bị, sửa đổi cài đặt âm thanh, hiển thị cửa sổ bật lên trên các ứng dụng khác và xóa các ứng dụng khác. Mã độc này cũng có khả năng ghi lại các lần gõ phím và đánh cắp mã xác thực của Google. Nó cũng có thể đánh cắp dữ liệu nhạy cảm hiển thị trên màn hình.
Ngoài ra, TeaBot tiến hành chụp ảnh màn hình của thiết bị bị nhiễm theo vòng lặp để tạo “Màn hình ảo” mỗi khi máy chủ gửi lệnh “start_client” với địa chỉ IP và PORT.
TeaBot cũng cài đặt như một dịch vụ Android để thực hiện các quy trình như giao tiếp với các máy chủ điều khiển và ra lệnh trong nền. Nó cũng yêu cầu quyền ghi đè tối ưu hóa pin của thiết bị để ngăn hệ điều hành Android chặn quá trình chạy nền liên tục.
TeaBot có giai đoạn cài đặt thứ cấp, cung cấp payload động giai đoạn thứ hai (.dex) có chứa mã độc hại. Sau khi được cấp các quyền cần thiết, trojan ngân hàng này cũng tự xóa biểu tượng khỏi thiết bị để che giấu sự lây nhiễm.
Các nhà nghiên cứu đã phát hiện ra một số trục trặc trong hoạt động của TeaBot và cho rằng, phần mềm độc hại Android này vẫn còn đang trong giai đoạn phát triển ban đầu.
''Việc mã hóa một phần mạng và sự hiện diện của một số lệnh và lệnh không hoạt động (hoặc trong một số trường hợp thiếu các lệnh cho các ngân hàng được nhắm mục tiêu cụ thể) cho thấy rằng TeaBot vẫn đang được phát triển'', các nhà nghiên cứu tại Cleafy cho biết.
Ngoài ra, sự hiện diện của mã rác cũng cho thấy, các nhà phát triển TeaBot vẫn đang bổ sung thêm các tính năng. Nó được hỗ trợ thêm sáu ngôn ngữ là: Hà Lan, Anh, Pháp, Đức, Ý và Tây Ban Nha.
TeaBot giả mạo các ứng dụng
Hiện tại, các payload của TeaBot đã được phát hiện trong các ứng dụng độc hại khác được ngụy trang dưới dạng ứng dụng phát trực tuyến phim TeaTV. TeaBot cũng lây lan thông qua các chiến thuật kỹ nghệ xã hội bằng cách thuyết phục người dùng tải xuống các ứng dụng giả mạo. Do đó, trojan ngân hàng đã được đổi tên thành các ứng dụng phổ biến như VLC MediaPlayer, Mobdro, DHL, UPS và bpost.
Mặc dù, TeaBot hiện tập trung vào các ngân hàng châu Âu, nhưng những kẻ tấn công có thể dễ dàng sửa đổi để nhắm mục tiêu vào các ngân hàng khác trên toàn cầu.
Các chuyên gia khuyến cáo, các tổ chức nên kiểm tra nguồn gốc của các yêu cầu API trước khi chấp nhận các yêu cầu giao dịch API. Đồng thời, cần đảm bảo rằng các ứng dụng không chạy trên trình giả lập hoặc thời gian chạy bị xâm phạm, song song cần áp dụng các phương pháp xác thực mạnh mẽ.
Trần Thanh Tùng
11:00 | 29/05/2021
20:00 | 30/06/2021
16:00 | 19/07/2021
07:00 | 06/04/2022
14:00 | 07/03/2022
08:00 | 03/02/2021
14:00 | 21/01/2021
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
