周一安全機構警告一個針對Android的新木馬“TeaBot”正在傳播。該惡意軟件竊取用戶的憑證和短信以對西班牙、德國、意大利、比利時和荷蘭的銀行進行欺詐活動。 該惡意軟件被稱為 “TeaBot”(或Anatsa),據稱處於發展的初始階段。
雖然TeaBot的活動從1月開始就為人所知,但更多針對金融應用程序的惡意攻擊在2021年3月底開始。在5月的第一周,更嚴重的攻擊針對來自比利時和荷蘭的銀行。
意大利網絡安全和在線欺詐預防公司Cleafy表示,”TeaBot的主要目標是竊取受害者的憑證和短信,以實現對預定的銀行名單的欺詐方案。
“一旦TeaBot成功安裝在受害者的設備上,攻擊者就可以獲得設備屏幕的實時流媒體(按需),還可以通過無障礙服務與之互動。”
這一木馬病毒應用Android模仿媒體和包裹運送服務,如TeaTV、VLC媒體播放器、DHL和UPS。該惡意軟件被當成是滴管,主要用於加載第二階段的惡意軟件載荷,並迫使受害者授予其可訪問性服務權限。
TeaBot利用訪問權限實現與被攻擊設備的實時互動,允許不良行為者記錄擊鍵、截圖,並在銀行應用程序的登錄屏幕上注入惡意覆蓋。這樣,密碼和信用卡信息就可以被提取出來。
TeaBot還可以禁用Google Play Protect,攔截短信,並訪問Google Authenticator 2FA代碼,等等。然後,收集到的數據每隔10秒就會被發送到一個由攻擊者控制的遠程服務器。
最近幾個月,利用可訪問性服務作為竊取數據的墊腳石的Android惡意軟件越來越多。TeaBot似乎使用了與Flubot相同的誘餌,冒充無害的應用程序,由於FluBot感染的數量增加,德國和英國在上個月發出警報,警告正在進行的攻擊使用釣魚短信欺騙用戶安裝間諜軟件,竊取密碼和其他敏感數據。
更多細節請訪問:
https://www.cleafy.com/documents/teabot