Para ahli memperingatkan trojan perbankan Android baru yang mencuri kredensial pengguna

  • Whatsapp
Para ahli memperingatkan trojan perbankan Android baru yang mencuri kredensial pengguna

Peneliti keamanan siber pada hari Senin mengungkapkan trojan Android baru yang membajak kredensial pengguna dan pesan SMS untuk memfasilitasi aktivitas penipuan terhadap bank di Spanyol, Jerman, Italia, Belgia, dan Belanda.

Dipanggil “TeaBot“(atau Anatsa), malware dikatakan berada dalam tahap awal pengembangan, dengan serangan jahat yang menargetkan aplikasi keuangan dimulai pada akhir Maret 2021, diikuti oleh serangan infeksi pada minggu pertama Mei terhadap bank-bank Belgia dan Belanda. Tanda-tanda pertama aktivitas TeaBot terjadi pada bulan Januari.

Bacaan Lainnya

auditor kata sandi

“Tujuan utama TeaBot adalah mencuri kredensial korban dan pesan SMS untuk memungkinkan skenario penipuan terhadap daftar bank yang telah ditentukan sebelumnya,” kata cybersecurity Italia, dan firma pencegahan penipuan online Cleafy dalam tulisan Senin. “Setelah TeaBot berhasil dipasang di perangkat korban, penyerang dapat memperoleh streaming langsung layar perangkat (sesuai permintaan) dan juga berinteraksi dengannya melalui Layanan Aksesibilitas.”

Aplikasi Android nakal, yang menyamar sebagai media dan layanan pengiriman paket seperti TeaTV, VLC Media Player, DHL, dan UPS, bertindak sebagai dropper yang tidak hanya memuat muatan tahap kedua tetapi juga memaksa korban untuk memberikan izin layanan aksesibilitas.

Di tautan terakhir rantai serangan, TeaBot mengeksploitasi akses untuk mencapai interaksi waktu nyata dengan perangkat yang disusupi, memungkinkan musuh untuk merekam penekanan tombol, selain mengambil tangkapan layar dan menyuntikkan overlay berbahaya di atas layar masuk aplikasi perbankan untuk mencuri kredensial dan informasi kartu kredit.

Kemampuan lain TeaBot termasuk menonaktifkan Google Play Protect, mencegat pesan SMS, dan mengakses kode Google Authenticator 2FA. Informasi yang dikumpulkan kemudian dieksfiltrasi setiap 10 detik ke server jarak jauh yang dikendalikan oleh penyerang.

Malware Android yang menyalahgunakan layanan aksesibilitas sebagai batu loncatan untuk melakukan pencurian data telah mengalami lonjakan dalam beberapa bulan terakhir. Sejak awal tahun, setidaknya tiga keluarga malware yang berbeda – Oscorp, BRATA, dan FluBot – telah menggunakan fitur tersebut untuk mendapatkan kendali penuh atas perangkat yang terinfeksi.

Menariknya, fakta bahwa TeaBot menggunakan umpan yang sama seperti Flubot dengan menyamar sebagai aplikasi pengiriman yang tidak berbahaya bisa menjadi upaya untuk menyesatkan atribusi dan tetap di bawah radar. Meningkatnya infeksi FluBot mendorong Jerman dan Inggris untuk mengeluarkan peringatan bulan lalu yang memperingatkan serangan yang sedang berlangsung melalui pesan SMS palsu yang mengelabui pengguna agar menginstal “spyware yang mencuri sandi dan data sensitif lainnya.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *