Trojan bancario Android ruba le credenziali degli utenti

Scoperto un nuovo trojan che si maschera dietro ad app di media player e consegna pacchi per spiare gli utenti e rubare loro le credenziali bancarie.

Vulnerabilità
Si chiama TeaBot il malware che sta minacciando la sicurezza informatica dei dispositivi Android. Parliamo di un trojan che dirotta le credenziali degli utenti e che sfrutta messaggi SMS per agevolare le attività fraudolente sfruttando i nomi di banche in Spagna, Germania, Italia, Belgio e Paesi Bassi.

I ricercatori di Cleafy reputano che questa minaccia sia nelle sue prime fasi di sviluppo. Le prime azioni riconducibili a TeaBot risalgono a gennaio, ma il grosso delle attività è stato registrato a fine marzo 2021, quando ha preso di mira app finanziarie che hanno portato nella prima settimana di maggio a una catena di infezioni che ha coinvolto istituti bancari di Belgio e Olanda.

Gli SMS hanno il ruolo di presentare alle potenziali vittime degli scenari di frode in cui è chiamato in causa un elenco predefinito di banche realmente esistenti. Una volta installato TeaBot nel dispositivo, gli attaccanti possono leggere il contenuto dello schermo del dispositivo infetto e interagire con esso tramite i servizi di accessibilità. Questo comporta la possibilità di rubare le credenziali delle vittime.
6098d277773d1bb0407455ef screenshot 2021 05 10 at 08 27 11A questo punto è bene sapere come si installa l'app canaglia. È mascherata da servizi di media player e consegna pacchi, come per esempio VLC Media Player, DHL e UPS. L'app originaria agisce come un dropper: carica un payload e convince la vittima a concedere le autorizzazioni al servizio di accessibilità. Quest'ultimo passaggio è importante perché TeaBot sfrutta tale accesso per ottenere l'interazione in tempo reale con il dispositivo compromesso.

È grazie a questo che gli attaccanti possono registrare le sequenze di tasti, catturare screenshot e iniettare sovrapposizioni dannose sopra alle schermate di accesso delle app bancarie per rubare credenziali e informazioni sulle carte di credito.
6098d3f7a1b85eec0bf6a41d screenshot 2021 05 10 at 08 31 44Inoltre, TeaBot disabilita Google Play Protect e intercetta i messaggi SMS per ottenere l'accesso ai codici 2FA di Google Authenticator. Le informazioni raccolte vengono esfiltrate ogni 10 secondi in un server remoto di comando e controllo.

L'uso di malware Android che abusano dei servizi di accessibilità è aumentato negli ultimi mesi. Dall'inizio dell'anno sono in circolazione almeno tre famiglie di malware che agiscono in questo modo: Oscorp, BRATA e FluBot.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori