Des chercheurs en cybersécurité ont révélé lundi un nouveau cheval de Troie Android qui détourne les informations d’identification des utilisateurs et les messages SMS pour faciliter des activités frauduleuses contre des banques en Espagne, en Allemagne, en Italie, en Belgique et aux Pays-Bas.

Appelé “TeaBot“(ou Anatsa), le malware en serait à ses premiers stades de développement, avec des attaques malveillantes ciblant les applications financières commençant fin mars 2021, suivies d’une éruption d’infections la première semaine de mai contre les banques belges et néerlandaises. Les premiers signes d’activité de TeaBot sont survenus en janvier.

auditeur de mot de passe

“L’objectif principal de TeaBot est de voler les informations d’identification de la victime et les messages SMS pour permettre des scénarios de fraude contre une liste prédéfinie de banques”, a déclaré la société italienne de cybersécurité et de prévention de la fraude en ligne Cleafy dans un article publié lundi. “Une fois TeaBot installé avec succès sur l’appareil de la victime, les attaquants peuvent obtenir une diffusion en direct de l’écran de l’appareil (à la demande) et également interagir avec lui via les services d’accessibilité.”

L’application Android non autorisée, qui se fait passer pour des services de livraison de médias et de colis tels que TeaTV, VLC Media Player, DHL et UPS, agit comme un compte-gouttes qui charge non seulement une charge utile de deuxième étape, mais oblige également la victime à lui accorder des autorisations de service d’accessibilité.

Dans le dernier maillon de la chaîne d’attaque, TeaBot exploite l’accès pour obtenir une interaction en temps réel avec l’appareil compromis, permettant à l’adversaire d’enregistrer les frappes au clavier, en plus de prendre des captures d’écran et d’injecter des superpositions malveillantes sur les écrans de connexion des applications bancaires pour voler informations d’identification et informations de carte de crédit.

Les autres fonctionnalités de TeaBot incluent la désactivation de Google Play Protect, l’interception des messages SMS et l’accès aux codes Google Authenticator 2FA. Les informations collectées sont ensuite exfiltrées toutes les 10 secondes vers un serveur distant contrôlé par l’attaquant.

Les logiciels malveillants Android qui abusent des services d’accessibilité en tant que tremplin pour perpétrer le vol de données ont connu une recrudescence ces derniers mois. Depuis le début de l’année, au moins trois familles de logiciels malveillants différentes – Oscorp, BRATA et FluBot – ont misé sur cette fonctionnalité pour obtenir un contrôle total des appareils infectés.

Fait intéressant, le fait que TeaBot utilise le même leurre que celui de Flubot en se faisant passer pour des applications d’expédition inoffensives pourrait être une tentative de tromper l’attribution et de rester sous le radar. L’augmentation des infections FluBot a incité l’Allemagne et le Royaume-Uni à émettre des alertes le mois dernier pour avertir des attaques en cours via des messages SMS frauduleux qui incitent les utilisateurs à installer «des logiciels espions qui dérobent des mots de passe et d’autres données sensibles».



Leave a Reply