Un nuovo pericoloso malware ha colpito gli smartphone Android e questa volta i territori più colpiti dalla minaccia sono quelli europei. L’Italia è tra gli Stati membri con maggior numero di casi rilevati di infezione da TeaBot, il banking trojan che punta a svuotarvi il conto in banca. In pericolo anche le informazioni personali dei singoli utenti.
La minaccia è stata scoperta dal team Threat Intelligence and Incident Response (TIR) di Cleafy, il quale ha identificato oltre 60 banche che sono state prese di mira dal malware. TeaBot è solamente nelle prime fasi di sviluppo secondo i ricercatori, tuttavia è già in grado di abusare dei servizi di accessibilità di Android come altri trojan realizzati appositamente per i dispositivi mobili.
Il malware è in grado di prendere il controllo dei dispositivi target, rubare i codici di autenticazione 2FA, inviare e intercettare gli SMS, disabilitare Google Play Protect e esfiltrare i dati bancari. Inoltre è in grado di utilizzare un keylogger per rubare le password degli utenti, catturare screenshot per il monitoraggio continuo dello schermo e sfruttare gli overlay (le sovrapposizioni su schermo).
Per ingannare gli utenti, l’applicazione in questione sarebbe stata condivisa camuffata con i nomi di TeaTV, DHL, VLC MediaPlayer, Mobdro, UPS, bpost, tutte app legittime che gli utenti avrebbero potuto volere sul proprio smartphone. Una volta installato il malware si nasconde all’utente, impedendone il rilevamento e garantendo la propria persistenza, installandosi come servizio in background e collegandosi al proprio server di controllo C2.
Per poter eseguire le azioni malevole per cui è stato progettato, il malware richiede poi agli utenti di accettare alcune autorizzazioni Android come “REQUEST_IGNORE_BATTERY_OPTIMIZATIONS” tramite un pop-up. A installazione completamente avvenuta il malware rimuove l’icona dell’app malevola originale dalla vista in modo da diminuire significativamente le possibilità di essere individuata.
In un certo senso, per modo di operare, TeaBot ricorderebbe da vicino Oscorp, un altro malware che ha infettato migliaia e migliaia di dispositivi solo recentemente. Per proteggersi da questo genere di infezione, e dalle sue spiacevoli conseguenze, consigliamo di installare sempre e solo le applicazioni dal Google Play Store, installare sempre gli aggiornamenti di sistema e le patch di sicurezza sul proprio smartphone oltre ad usare il sempre utile “buon senso” navigando in rete.