Nhóm ứng phó sự cố và tình báo mối đe dọa của Cleafy đã phát hiện ra phần mềm độc hại này vào tháng 1/2021. Sau đó, các nhà nghiên cứu đã theo dõi và phát hiện thêm TeaBot được sử dụng trong các cuộc tấn công liên tục nhằm vào các ngân hàng của Italia cũng như các ngân hàng của Bỉ và Hà Lan vào tháng 5/2021.

TeaBot có thể phát trực tiếp màn hình của thiết bị và bắt chước tương tác của người dùng

Các nhà nghiên cứu giải thích rằng, mục tiêu chính của TeaBot là đánh cắp thông tin xác thực ngân hàng của nạn nhân cho các mục đích lừa đảo bằng cách lạm dụng dịch vụ trợ năng của Android.

TeaBot đạt được tương tác trong thời gian thực với thiết bị bị xâm nhập để bỏ qua đăng ký thiết bị mới và thực hiện tiếp quản tài khoản. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, kẻ tấn công có thể theo dõi trực tiếp màn hình thiết bị và tương tác với nó. Bên cạnh đó, TeaBot cũng có thể gửi, chặn và ẩn tin nhắn SMS để vượt qua giải pháp xác thực hai yếu tố.

Giống như các trojan ngân hàng Android khác như Anubis, Cerberus Alien, TeaBot phủ lên các ứng dụng di động của ngân hàng để lấy cắp thông tin đăng nhập và thẻ tín dụng. Nó cũng quan sát và chặn các hành động của người dùng và có thể thực hiện các hành động tùy ý. Tuy nhiên, điểm khác biệt là TeaBot chỉ theo dõi các ứng dụng ngân hàng được chọn. Do đó, nó tải các tải trọng cụ thể để thực hiện các cuộc tấn công lớp phủ chống lại các ngân hàng cụ thể.

Các nhà nghiên cứu lưu ý, TeaBot trong lần giao tiếp đầu tiên với máy chủ sẽ gửi danh sách các ứng dụng đã cài đặt để xác minh xem các thiết bị bị nhiễm có một hoặc nhiều ứng dụng được nhắm mục tiêu đã được cài đặt hay chưa.

Các nhà nghiên cứu của Cleafy cũng phát hiện ra rằng, TeaBot đã gửi thông tin tương tác của người dùng cho các ứng dụng ngân hàng cụ thể sau mỗi mười giây đến máy chủ điều khiển và ra lệnh. Chiến lược này đảm bảo rằng có rất ít lưu lượng truy cập giữa phần mềm độc hại Android, máy chủ điều khiển và ra lệnh. TeaBot mã hoá lưu lượng bằng thuật toán XOR.

Các nhà nghiên cứu cũng quan sát thấy rằng, TeaBot yêu cầu quyền đọc danh bạ và trạng thái điện thoại, sử dụng sinh trắc học của thiết bị, sửa đổi cài đặt âm thanh, hiển thị cửa sổ bật lên trên các ứng dụng khác và xóa các ứng dụng khác. Mã độc này cũng có khả năng ghi lại các lần gõ phím và đánh cắp mã xác thực của Google. Nó cũng có thể đánh cắp dữ liệu nhạy cảm hiển thị trên màn hình.

Ngoài ra, TeaBot tiến hành chụp ảnh màn hình của thiết bị bị nhiễm theo vòng lặp để tạo “Màn hình ảo” mỗi khi máy chủ gửi lệnh “start_client” với địa chỉ IP và PORT.

TeaBot cũng cài đặt như một dịch vụ Android để thực hiện các quy trình như giao tiếp với các máy chủ điều khiển và ra lệnh trong nền. Nó cũng yêu cầu quyền ghi đè tối ưu hóa pin của thiết bị để ngăn hệ điều hành Android chặn quá trình chạy nền liên tục.

TeaBot có giai đoạn cài đặt thứ cấp, cung cấp payload động giai đoạn thứ hai (.dex) có chứa mã độc hại. Sau khi được cấp các quyền cần thiết, trojan ngân hàng này cũng tự xóa biểu tượng khỏi thiết bị để che giấu sự lây nhiễm.

Trojan ngân hàng TeaBot vẫn đang được phát triển

Các nhà nghiên cứu đã phát hiện ra một số trục trặc trong hoạt động của TeaBot và cho rằng, phần mềm độc hại Android này vẫn còn đang trong giai đoạn phát triển ban đầu.

''Việc mã hóa một phần mạng và sự hiện diện của một số lệnh và lệnh không hoạt động (hoặc trong một số trường hợp thiếu các lệnh cho các ngân hàng được nhắm mục tiêu cụ thể) cho thấy rằng TeaBot vẫn đang được phát triển'', các nhà nghiên cứu tại Cleafy cho biết.

Ngoài ra, sự hiện diện của mã rác cũng cho thấy, các nhà phát triển TeaBot vẫn đang bổ sung thêm các tính năng. Nó được hỗ trợ thêm sáu ngôn ngữ là: Hà Lan, Anh, Pháp, Đức, Ý và Tây Ban Nha.

TeaBot giả mạo các ứng dụng

Hiện tại, các payload của TeaBot đã được phát hiện trong các ứng dụng độc hại khác được ngụy trang dưới dạng ứng dụng phát trực tuyến phim TeaTV. TeaBot cũng lây lan thông qua các chiến thuật kỹ nghệ xã hội bằng cách thuyết phục người dùng tải xuống các ứng dụng giả mạo. Do đó, trojan ngân hàng đã được đổi tên thành các ứng dụng phổ biến như VLC MediaPlayer, Mobdro, DHL, UPS và bpost.

Mặc dù, TeaBot hiện tập trung vào các ngân hàng châu Âu, nhưng những kẻ tấn công có thể dễ dàng sửa đổi để nhắm mục tiêu vào các ngân hàng khác trên toàn cầu.

Các chuyên gia khuyến cáo, các tổ chức nên kiểm tra nguồn gốc của các yêu cầu API trước khi chấp nhận các yêu cầu giao dịch API. Đồng thời, cần đảm bảo rằng các ứng dụng không chạy trên trình giả lập hoặc thời gian chạy bị xâm phạm, song song cần áp dụng các phương pháp xác thực mạnh mẽ.