Skip to main content

TeaBot : l’analisi del nuovo malware Android, che prende di mira le banche in Europa

|

TeaBot Malware è il nuovo trojan bancario che si maschera dietro applicazioni Android illecite e prende di mira i servizi bancari. Il nuovo malware, che spia gli utenti e ruba loro le credenziali di accesso, è stato rilevato in Italia, Spagna, Germania, Belgio, Paesi Bassi e oltre.

Cleafy, società di sicurezza informatica, ne ha rilasciato l’intera analisi il 10 Maggio 2021: il suo team di Threat Intelligence and Incident Response (TIR) lo ha rilevato a partire da Gennaio, fornendo ora – data le poche informazioni a disposizione in rete – un’intera analisi per tracciarlo al meglio. Il trojan è stato rilevato in Italia a partire dal 29 Marzo 2021, mentre all’inzio di Maggio è stato rilevato in Belgio e Olanda. TeaBot sembra così essere nelle sue prime fasi di sviluppo, a confermare la tesi sono state alcune irregolarità riscontrate durante l’analisi.

Partiamo dal presupposto che TeaBot, in modo simile a Oscorp, stia cercando di ottenere un’interazione in tempo reale con il dispositivo compromesso in combinazione con l’abuso dei servizi di accessibilità Android aggirando la necessità di una “registrazione di un nuovo dispositivo” per eseguire uno scenario di acquisizione dell’account (ATO).

Cleafy

TeaBot malware: la sintesi dell’analisi Cleafy sul nuovo trojan bancario

La sintesi dell’analisi del malware da parte dei ricercatori ne chiarisce le prime caratteristiche che lo fanno rietrare nella lista dei trojan bancari Android:

TeaBot sembra avere tutte le caratteristiche principali dei trojan bancari Android:

– Possibilità di eseguire attacchi overlay contro più applicazioni bancarie per rubare credenziali di accesso e informazioni sulla carta di credito

– Possibilità di inviare / intercettare / nascondere messaggi SMS

– Abilitazione delle funzionalità di registrazione delle chiavi

– Possibilità di rubare i codici di autenticazione di Google

– Possibilità di ottenere il controllo remoto completo di un dispositivo Android (tramite servizi di accessibilità e condivisione dello schermo in tempo reale)

Cleafy.com – TeaBot: a new Android malware emerged in Italy, targets banks in Europe

Attraverso l’abuso dei servizi di accessibilità Android, TeaBot – in modo similare a EventBot – è in grado di osservare e tenere traccia di tutte le informazioni eseguite dall’utente ma questa volta solo sulle applicazioni target. In più TeaBot possiede la capacità di acquisire schermate per monitorare costantemente lo schermo del dispositivo compromesso. La tecnica si basa sull’attacco Overlay – ben nota ai moderni trojan bancari Android come Anubis, Cerberus / Alien – che imita un’applicazione dannosa che esegue azioni per conto della vittima. Atre caratteristiche comuni invece sono

  • la disabilitazione di Google Protect,
  • il furto di codici di doppia autenticazione 2FA,
  • il controllo remoto dei dispostivi target
  • la simulazione di click sullo schermo (tramite Servizi di accessibilità)


L’intera analisi: TeaBot: a new Android malware emerged in Italy, targets banks in Europe

Leggi anche: WeSteal Malware as a service: il ladro di criptovalute

Andrea Biraghi