По словам исследователей, пока банкер находится на ранней стадии разработки: если первые признаки его активности появились еще в январе, то атаки на финансовые приложения наблюдаются лишь с конца марта 2021 года. В начале текущего месяца была обнаружена крупная волна заражений среди пользователей банков в Бельгии и Нидерландах.
Обычно малварь маскируется под различные мультимедиа сервисы и службы доставки, включая TeaTV, VLC Media Player, DHL и UPS. Само приложение действует как дроппер, который не только загружает пейлоад второго уровня, но и вынуждает жертву предоставить малвари все необходимые права.«Основная цель TeaBot — кража учетных данных и SMS-сообщений жертв для реализации мошенничества с заранее определенным списком банков. После успешной установки TeaBot на устройство злоумышленники могут получить прямую трансляцию экрана устройства (по запросу), а также взаимодействовать с ним через Accessibility Services», — пишут эксперты.
Получив доступ к Accessibility Services, преступники получают возможность перехватывать нажатия клавиш, делать снимки экрана и внедрять вредоносные оверлеи поверх настоящих экранов логина банковских приложений (для кражи учетных данных и данные банковских карт). Кроме того, TeaBot способен отключать Google Play Protect, перехватывать SMS-сообщения и коды 2ФА Google Authenticator. Собранная информация передается на удаленный сервер злоумышленников каждые 10 секунд.