Исследователи кибербезопасности раскрыли новый троян для Android, который перехватывает учетные данные пользователей и SMS-сообщения, чтобы облегчить мошеннические действия против банков в Испании, Германии, Италии, Бельгии и Нидерландах.
Вредоносное ПО, получившее название « TeaBot » (или Anatsa), находится на ранней стадии разработки, и вредоносные атаки на финансовые приложения предположительно начнутся во 2 квартале текущего 2021 года, в первую неделю мая уже последовала волна заражений банков Бельгии и Нидерландов. Первые признаки тестирования TeaBot появились в январе 2021.
«Основная цель TeaBot — кража учетных данных жертвы и SMS-сообщений для реализации сценариев мошенничества с заранее определенным списком банков», — заявила итальянская фирма Cleafy, занимающаяся кибербезопасностью и предотвращением онлайн-мошенничества. «После успешной установки TeaBot на устройство жертвы злоумышленники могут получить прямую трансляцию экрана устройства (по запросу), а также взаимодействовать с ним через службы доступности».
Мошенническое приложение для Android, которое маскируется под службы доставки мультимедиа и пакетов, такие как TeaTV, VLC Media Player, DHL и UPS, действует как дроппер, который не только загружает полезную нагрузку второго уровня, но и вынуждает жертву предоставить ему разрешения службы доступности.
В последнем звене цепи атаки TeaBot использует доступ для достижения взаимодействия в реальном времени со скомпрометированным устройством, позволяя злоумышленнику записывать нажатия клавиш, а также делать снимки экрана и внедрять вредоносные «оверлеи» поверх экранов входа в банковские приложения для кражи. учетные данные и данные кредитной карты.
Другие возможности TeaBot включают отключение Google Play Protect, перехват SMS-сообщений и доступ к кодам 2FA Google Authenticator. Затем собранная информация пересылается каждые 10 секунд на удаленный сервер, управляемый злоумышленником.
Вредоносные программы для Android, злоупотребляющие службами доступности в качестве ступеньки для совершения кражи данных, в последние месяцы резко возросли. С начала года как минимум три различных семейства вредоносных программ — Oscorp , BRATA и FluBot — сделали ставку на эту функцию, чтобы получить полный контроль над зараженными устройствами.
Интересно что TeaBot использует ту же приманку, что и Flubot, выдавая себя за безобидные приложения для доставки кода, что вводит в заблуждение системы защиты и позволяет остаться незамеченным. Рост числа заражений FluBot побудил Германию и Великобританию в прошлом месяце опубликовать предупреждения о продолжающихся атаках с помощью мошеннических SMS-сообщений, которые обманом заставляют пользователей устанавливать «шпионское ПО, крадущее пароли и другие конфиденциальные данные».