Банковский троян TeaBot похищает коды аутентификации из SMS-сообщений

Исследователи в области кибербезопасности из компании Cleafy выявили банковский троян для Android-устройств, способный похищать учетные данные пользователей и SMS-сообщения. Преступники атакуют пользователей банковских приложений в Испании, Германии, Италии, Бельгии и Нидерландах.

Вредоносное ПО, получившее название TeaBot (также известное как Anatsa), находится на ранней стадии разработки. Первые признаки активности TeaBot были замечены в январе нынешнего года, однако кибератаки против пользователей финансовых программ последовали в конце марта.

«Основная цель операторов TeaBot — кража учетных данных и SMS-сообщений жертв для реализации сценариев мошенничества с заранее определенным списком банков. После успешной установки TeaBot на устройство жертвы злоумышленники могут получить прямую трансляцию экрана, а также взаимодействовать с ним через службу специальных возможностей Android Accessibility Service», — пояснили эксперты.

Мошенническое приложение для Android маскируется под службы доставки мультимедиа и пакетов, такие как TeaTV, VLC Media Player, DHL и UPS, и выполняет роль загрузчика, также вынуждая жертву предоставить ему необходимые разрешения.

TeaBot способен выполнять следующие функции на скомпрометированном устройстве: фиксировать нажатия клавиш, делать снимки экрана и внедрять вредоносные оверлеи поверх экранов входа в банковские приложения для кражи учетных данных и данных кредитной карты.

TeaBot также может отключать Google Play Protect, перехватывать SMS-сообщения и получать доступ к кодам двухфакторной аутентификации (2FA Google Authenticator). Похищенные сведения отправляются каждые 10 секунд на удаленный сервер, управляемый злоумышленником.