1 0
Read Time:2 Minute, 26 Second

Des chercheurs en cybersécurité ont révélé lundi un nouveau cheval de Troie Android qui détourne les informations d’identification des utilisateurs et les messages SMS pour faciliter des activités frauduleuses contre des banques en Espagne, en Allemagne, en Italie, en Belgique et aux Pays-Bas.

Appelé « TeaBot » (ou Anatsa), le malware en serait à ses premiers stades de développement, avec des attaques malveillantes ciblant les applications financières à partir de fin mars 2021, suivies d’une éruption d’infections au cours de la première semaine de mai contre la Belgique et les Pays-Bas. banques. Les premiers signes d’activité de TeaBot sont apparus en janvier.
auditeur de mot de passe

« L’objectif principal de TeaBot est de voler les informations d’identification de la victime et les messages SMS pour permettre des scénarios de fraude contre une liste prédéfinie de banques », a déclaré la société italienne de cybersécurité et de prévention de la fraude en ligne Cleafy dans un article publié lundi. « Une fois TeaBot installé avec succès sur l’appareil de la victime, les attaquants peuvent obtenir une diffusion en direct de l’écran de l’appareil (à la demande) et également interagir avec lui via les services d’accessibilité. »

L’application Android non autorisée, qui se fait passer pour des services de livraison de médias et de colis tels que TeaTV, VLC Media Player, DHL et UPS, agit comme un compte-gouttes qui charge non seulement une charge utile de deuxième étape, mais oblige également la victime à lui accorder des autorisations de service d’accessibilité.

Dans le dernier maillon de la chaîne d’attaque, TeaBot exploite l’accès pour obtenir une interaction en temps réel avec l’appareil compromis, permettant à l’adversaire d’enregistrer les frappes au clavier, en plus de prendre des captures d’écran et d’injecter des superpositions malveillantes sur les écrans de connexion des applications bancaires pour voler informations d’identification et informations de carte de crédit.

Les autres fonctionnalités de TeaBot incluent la désactivation de Google Play Protect, l’interception des messages SMS et l’accès aux codes Google Authenticator 2FA. Les informations collectées sont ensuite exfiltrées toutes les 10 secondes vers un serveur distant contrôlé par l’attaquant.

Les logiciels malveillants Android qui abusent des services d’accessibilité comme tremplin pour perpétrer le vol de données ont connu une forte augmentation ces derniers mois. Depuis le début de l’année, au moins trois familles de logiciels malveillants différentes – Oscorp, BRATA et FluBot – ont misé sur cette fonctionnalité pour obtenir un contrôle total des appareils infectés.

Fait intéressant, le fait que TeaBot utilise le même leurre que celui de Flubot en se faisant passer pour des applications d’expédition inoffensives pourrait être une tentative de tromper l’attribution et de rester sous le radar. L’augmentation des infections FluBot a incité l’Allemagne et le Royaume-Uni à émettre des alertes le mois dernier pour avertir des attaques en cours via des messages SMS frauduleux qui incitent les utilisateurs à installer des «logiciels espions qui dérobent les mots de passe et autres données sensibles».

Happy
Happy
0 %
Sad
Sad
100 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %