Logiciel malveillant Teabot

Le malware Teabot est une nouvelle menace de cheval de Troie Android qui est déployée dans des attaques de phishing ciblant des utilisateurs à travers l'Europe. La fonction principale de la souche de malware est de collecter des informations d'identification et d'intercepter SMS Messenger pour commettre des opérations de fraude financière contre une multitude de banques européennes. «Une fois établi sur l'appareil compromis, le malware Teabot peut fournir à l'acteur de la menace un flux en direct de l'écran de cet appareil, tout en abusant des services d'accessibilité pour effectuer d'autres activités malveillantes.»

La première action du logiciel malveillant consiste à tenter d'être installé en tant que «service Android», une désignation pour les composants d'application autorisés à effectuer des opérations de longue durée en arrière-plan de l'appareil. En exploitant cette fonctionnalité, Teabot peut cacher sa présence à l'utilisateur, rendre sa détection encore plus difficile et assurer sa persistance sur l'appareil violé. En demandant diverses autorisations Android, le logiciel malveillant peut commencer à observer les actions de l'utilisateur et effectuer des gestes arbitraires, tout en récupérant le contenu sensible de la fenêtre.

Teabot est en développement actif

Pendant que les chercheurs observaient l'opération Teabot, ils ont vu une expansion drastique des cibles du malware. Initialement, la campagne menaçante était centrée uniquement sur les banques espagnoles, mais elle s'est rapidement développée pour toucher également les banques en Allemagne et en Italie. Les dernières versions de Teabot pourraient être utilisées dans des activités frauduleuses contre plus de 60 banques européennes situées en Espagne, en Allemagne, en Italie, en Belgique et aux Pays-Bas. Le malware prend en charge 6 langues différentes: espagnol, anglais, allemand, français, néerlandais et italien.

Dans le même temps, l'application menaçante porteuse de la menace a basculé rapidement entre plusieurs déguisements différents. Il s'est présenté comme une application nommée TeaTV au départ. L'acteur de la menace a ensuite essayé plusieurs noms différents, certains se faisant passer pour des applications légitimes et populaires telles que «VLC MediaPlayer», «Mobdro», «UPS», «DHL» et «bpost».