Được gọi là TeaBot (hay Anatsa), phần mềm độc hại này được cho là đang trong giai đoạn phát triển ban đầu, với các cuộc tấn công độc hại nhắm vào các ứng dụng tài chính bắt đầu vào cuối tháng 3/2021. Sau đó là một đợt lây nhiễm vào tuần đầu tiên của tháng 5/2021 tại các ngân hàng Bỉ và Hà Lan. Những dấu hiệu đầu tiên của hoạt động TeaBot đã xuất hiện vào tháng 01/2021.

Theo công ty an ninh mạng và phòng chống gian lận trực tuyến Cleafy (Ý) cho biết: “Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các kịch bản gian lận dựa trên danh sách các ngân hàng được xác định trước. Khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, tin tặc có thể có được hình ảnh phát trực tiếp của màn hình thiết bị (theo yêu cầu) và cũng có thể tương tác với nó thông qua Dịch vụ trợ năng”.

Một số ứng dụng Android giả mạo là các dịch vụ chuyển phát tệp và phương tiện như TeaTV, VLC Media Player, DHL và UPS hoạt động chậm rãi không chỉ tải payload ở giai đoạn hai mà còn buộc nạn nhân phải cấp cho nó quyền dịch vụ trợ năng.

Ứng dụng VLC Media Player giả mạo là các dịch vụ chuyển phát tệp và phương tiện

Trong liên kết cuối cùng của chuỗi tấn công, TeaBot khai thác quyền truy cập để đạt được tương tác thời gian thực với thiết bị bị xâm nhập, cho phép tin tặc ghi lại các lần gõ phím, ngoài việc chụp ảnh màn hình và đưa các lớp phủ độc hại lên trên màn hình đăng nhập của các ứng dụng ngân hàng để đánh cắp thông tin xác thực và thông tin thẻ tín dụng của người dùng.

Ngoài ra, TeaBot còn có khả năng tắt Google Play Protect, chặn tin nhắn SMS và truy cập mã 2FA của Google Authenticator. Thông tin thu thập được sau đó sẽ được trích xuất sau mỗi 10 giây đến một máy chủ từ xa do tin tặc điều khiển.

Gần đây, xu hướng phần mềm độc hại Android lạm dụng các dịch vụ trợ năng như một bước đệm để thực hiện hành vi đánh cắp dữ liệu đang có dấu hiệu gia tăng. Kể từ đầu năm 2021, ít nhất 03 họ phần mềm độc hại khác nhau (Oscorp, BRATA và FluBot) đã sử dụng tính năng này để giành toàn quyền kiểm soát các thiết bị nhiễm độc hại.

Điều thú vị là TeaBot đã sử dụng cùng một mồi nhử như của Flubot, bằng cách giả mạo là các ứng dụng vận chuyển vô hại để đánh lừa sự phân bổ và nằm trong tầm ngắm. Các đợt lây nhiễm FluBot gia tăng đã khiến Đức và Anh phải đưa ra cảnh báo vào tháng 4/2021, cảnh báo về các cuộc tấn công đang diễn ra thông qua tin nhắn SMS lừa đảo lừa người dùng cài đặt phần mềm gián điệp đánh cắp mật khẩu và các dữ liệu nhạy cảm khác.