Vừa qua, nhiều nhà nghiên cứu bảo mật tại Cleafy đã phát hiện ra một số ứng dụng trên Google Play bị nhiễm Trojan TeaBot, nhắm vào hơn 400 ứng dụng ngân hàng để lấy cắp tiền từ tài khoản của người dùng điện thoại thông minh.
Phương thức lừa đảo này xâm nhập vào các thiết bị di động thông qua các tin nhắn spam có chứa các liên kết độc hại. Thông thường, các liên kết này sẽ dẫn người dùng đến các trang web lừa đảo yêu cầu dữ liệu cá nhân và thông tin đăng nhập tài khoản của họ.
Trojan TeaBot (Toddler/Anatsa) được phát hiện từ năm 2021, được kẻ gian phát tán thông qua hình thức tin nhắn giả mạo (đi kèm các liên kết độc hại). TeaBot chủ yếu nhắm vào các ứng dụng ngân hàng, tiền điện tử và bảo hiểm kỹ thuật số ở các khu vực như Mỹ, châu Âu và Hong Kong.
TeaBot hoạt động bằng cách thao túng các dịch vụ trợ năng, cho phép những kẻ tấn công theo dõi và tương tác từ xa với điện thoại. Trong một phát hiện gần đây, các nhà nghiên cứu bảo mật tại Cleafy nhận thấy số lượng nạn nhân của trojan này tăng vọt, nguyên nhân là do tải nhầm phần mềm độc hại có tên gọi QR Code & Barcode - Scanner trên kho ứng dụng CH Play. Đây là một trong những ứng dụng mới nhất bị nhiễm TeaBot, hiện đang có hơn 10.000 lượt tải xuống trên điện thoại.
Ứng dụng này ban đầu vẫn hoàn toàn bình thường như tên gọi của nó. Tuy nhiên, không lâu sau, QR Code & Barcode - Scanner sẽ hiển thị một cửa sổ để dẫn dụ người dùng cài đặt thêm các tiện ích bổ sung, khiến điện thoại bị nhiễm TeaBot. Sau khi xâm nhập thành công, phần mềm độc hại sẽ yêu cầu quyền sử dụng các dịch vụ trợ năng, kiểm soát màn hình và ghi lại các thông tin đăng nhập, SMS, mã xác thực hai yếu tố… Đây là chiêu trò giúp kẻ gian qua mặt thuật toán bảo mật của Google Play.
Hiện ứng dụng QR Code & Barcode - Scanner đã bị Google xóa khỏi cửa hàng ứng dụng, tuy nhiên chúng vẫn tồn tại trên điện thoại trong trường hợp đã cài đặt trước đó. Do đó, người dùng nên xóa ứng dụng này ngay lập tức bằng cách nhấn giữ biểu tượng ứng dụng, sau đó chọn Uninstall (Gỡ cài đặt).
Ngoài khả năng quét dữ liệu người dùng, TeaBot cũng cho phép những kẻ tấn công truy cập từ xa vào màn hình của thiết bị bị nhiễm, cũng như tương tác với các hoạt động do chủ sở hữu thiết bị thực hiện. Phiên bản mới của phần mềm độc hại có thể nhắm mục tiêu vào ngân hàng, bảo hiểm, ví tiền điện tử và các ứng dụng trao đổi tiền điện tử. Gần đây, TeaBot đã được bổ sung thêm 2 ngôn ngữ mới (tiếng Nga và tiếng Quan Thoại), điều này cho thấy nhóm tin tặc đang muốn mở rộng mục tiêu tấn công đến các quốc gia khác.
Bình luận