Actualités

Teabot : un trojan visant les applications mobiles bancaires sous Android mis en lumière et capable d’aspirer et / d’espionner le terminal infecté !

Depuis le 29 Mars 2021, l’équipe Cleafy alerte : un malware visant les applications bancaires de plusieurs pays du globe permet d’aspirer les données confidentielles des terminaux mobiles ciblés ; y compris en passant par la prise de contrôle à distance…

 

Nommé Teabot (en raison de sa souche virale principale ; cette dernière ayant pris son sein dans une application malveillante nommée TeaTV), le trojan bancaire, depuis Avril 2021, a été réactif ou plutôt adaptatif, explique dans un billet détaillé les chercheurs. En effet, le nom originel a muté en “VLC Media Player”, “Mobdro” ou encore “DHL”, “UPS”, “BPost” ce qui n’est pas sans rappelé une autre affaire : Flubot. Récemment, fin Avril 2021, le National Cyber-Security Centre (NCSC) alertait sur ce malware qui, au détour d’une pseudo-notification sur mobile au sujet d’un colis (avec URL), permettait de confondre les données-utilisateur avec un lien vérolé. Une technique similaire, donc, à Teabot qui, après avoir appâter la future victime, permettra les actions suivantes :

 

  • Affichage d’une notification (toast) contextuelle pour inciter la victime à opérer un changement de mot de passe. Fenêtre ou notification en avant-plan, ce qui oblige la victime à consentir à la permission ou à la requête demandée. Cette attaque – par superposition – peut tronquer un affichage WebView, par exemple, pour prendre le contrôle sur l’application mobile (bancaire) légitime ;

  • SMS : interception, masquage ou envoi de messages ;

  • Enregistrement des frappes-clavier (keylogging) : une similarité est souligné avec un autre malware, EventBot. Une différence réside, toutefois : TeaBot cible spécifiquement certaines victimes ;

  • Permission d’authentification digitale (via fenêtre contextuelle) ;

  • Simulation de clics et gestures-écran, depuis les options ou services d’accessibilité ;

  • Depuis les paramètres, accès aux différents comptes sous le terminal mobile infecté ;

  • Coupure de l’audio ;

  • Depuis des captures-écran, espionner le terminal mobile infecté via une adresse IP et un port spécifique ;

  • Récupération des code Google Auth pour étendre le carnet de victimes des cyber-attaquants ;

  • Désactivation de Google Protect ;

  • Contrôle, gestion des paramètres-écran (luminosité, verrouillage…).

 

 

Une fois l’application installée – en se déguisant en tant que service Android – le code est chargé (constitutif de la seconde étape, second niveau) pour permettre un chiffrement (via algorithme XOR) des communications et connectivités-réseau. Du fait de certaines commandes inachevés ou incomplètes (de même que le chiffrement qui est partiel), l’équipe sécuritaire estime que TeaBot seraient toujours en cours de finalisation. Le malware support actuellement 6 langages différents : Espagnol, Anglais, Italien, Allemand, Français, Néerlandais. Les attaques sont sous la coupe d’un serveur command-and-control qui effectue des va-et-vient “toutes les 10 secondes“. Lorsque toutes les autorisations requises sont acceptées par la victime, l’icône de l’application TeaBot ne sera plus visible sur l’écran d’accueil.

Il est noté, enfin, qu’entre Janvier et Mars 2021, le trojan bancaire visait des pays différents : respectivement, l’Espagne, avant de s’étendre à l’Allemagne et l’Italie… A veiller !

 

 

Source : Cleafy – 10 Mai 2021 – Trojan bancaire Android TeaBot.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a