Ερευνητές ασφαλείας ανακάλυψαν ένα νέο Android malware, δηλώνοντας στις 11 Μαΐου ότι μόλις εγκατασταθεί επιτυχώς στη συσκευή ενός θύματος, οι χάκερς που βρίσκονται πίσω από αυτό μπορούν να αποκτήσουν ένα live stream της οθόνης της συσκευής καθώς και να αλληλεπιδράσουν με αυτή μέσω των Υπηρεσιών Προσβασιμότητάς της.
Οι χάκερς χρησιμοποιούν το malware – που ονομάστηκε “Teabot” από τους ερευνητές ασφαλείας της Cleafy – για να χακάρουν credentials χρηστών και μηνύματα SMS, προκειμένου να διενεργήσουν κακόβουλες δραστηριότητες σε βάρος τραπεζών που εδρεύουν στην Ευρώπη και ιδιαίτερα στην Ισπανία, τη Γερμανία, την Ιταλία, το Βέλγιο και την Ολλανδία.
Η ομάδα Threat Intelligence και Ανταπόκρισης σε περιστατικά ασφαλείας της Cleafy ανακάλυψε για πρώτη φορά το banking trojan τον Ιανουάριο και διαπίστωσε ότι με αυτό οι κυβερνοεγκληματίες έχουν πραγματοποιήσει απάτες ενάντια σε περισσότερες από 60 τράπεζες σε ολόκληρη την Ευρώπη. Στις 29 Μαρτίου, οι αναλυτές της Cleafy διαπίστωσαν ότι το trojan είχε χρησιμοποιηθεί εναντίον ιταλικών τραπεζών, ενώ τον Μάιο, τράπεζες στο Βέλγιο και την Ολλανδία ήρθαν επίσης αντιμέτωπες με αυτό. Η έρευνα δείχνει ότι το Teabot βρίσκεται ακόμη υπό ανάπτυξη, αλλά αρχικά επικεντρώθηκε μόνο σε τράπεζες της Ισπανίας προτού επεκταθεί σε τράπεζες της Γερμανίας και της Ιταλίας. Αξίζει να σημειωθεί ότι το malware υποστηρίζει επί του παρόντος 6 διαφορετικές γλώσσες, συμπεριλαμβανομένων Ισπανικών, Αγγλικών, Ιταλικών, Γερμανικών, Γαλλικών και Ολλανδικών.
Η εφαρμογή ονομάστηκε αρχικά TeaTV, πριν αλλάξει επανειλημμένα όνομα σε “VLC MediaPlayer”, “Mobdro”, “DHL”, “UPS” και “bpost”.
Η έκθεση της Cleafy επισημαίνει τα ακόλουθα: «Όταν η κακόβουλη εφαρμογή ληφθεί σε μία συσκευή, προσπαθεί να εγκατασταθεί ως “Υπηρεσία Android”, η οποία είναι ένα στοιχείο εφαρμογής που μπορεί να εκτελέσει μακροχρόνιες λειτουργίες στο παρασκήνιο. Αυτή η λειτουργία καταχράται από το TeaBot, γεγονός που του επιτρέπει να κρυφτεί από τον χρήστη, αφού εγκατασταθεί, ενώ εμποδίζει επίσης τον εντοπισμό του και διασφαλίζει την επιμονή του.»
Μόλις εγκατασταθεί το TeaBot, θα ζητήσει δικαιώματα Android για την παρακολούθηση των ενεργειών των χρηστών, την ανάκτηση περιεχομένου παραθύρου και την εκτέλεση αυθαίρετων ενεργειών. Όταν εκχωρηθούν τα δικαιώματα, η εφαρμογή καταργεί το εικονίδιό της από τη συσκευή.
Ο Saumitra Das, CTO της εταιρείας κυβερνοασφάλειας “Blue Hexagon”, ανέφερε ότι οι κακόβουλοι παράγοντες συνειδητοποιούν το πραγματικό δυναμικό των κινητών και την απειλή που μπορούν να θέσουν στον τελικό χρήστη. Τόνισε ακόμη πως είναι σημαντικό να θυμόμαστε ότι παρόλο που οι εφαρμογές δεν είναι στο Google Play, οι τακτικές phishing / social engineering που χρησιμοποιούν οι χάκερς που βρίσκονται πίσω από το Teabot / FluBot είναι εξίσου καλές με κάθε οικογένεια απειλών. Επιπλέον σε σύντομο χρονικό διάστημα, μπορούν να δημιουργήσουν μια τεράστια «βάση μόλυνσης». Επομένως αυτές οι απειλές δεν πρέπει να υποτιμούνται, υπογράμμισε ο Das.
Πηγή: secnews.gr