Teabot: una minaccia per i dispositivi Android!
Una recente ricerca pubblicata da Bitdefender e Cybersecurity360 ha segnalato alcuni software malevoli per Android che, fingendosi app di successo e di utilizzo comune, infettano i device su cui sono installate. "Uno dei principali vantaggi di Android, ovvero la possibilità di installare applicazioni al di fuori del Play Store, è anche una delle sue principali debolezze" dichiara lo studio in questione. In particolare il dito è puntato contro il "banking trojan" TeaBot, ovvero un malware il cui scopo e rubare le credenziali ed i dati bancari per effettuare pagamenti online non autorizzati.
▪ keylogger;
▪ screenshot del dispositivo compromesso;
▪ overlay (imitazione di un'app e/o sovrapposizione di un layer ad un’applicazione legittima);
Teabot ha caratteristiche simili ad altri trojan mobile che abusano dei servizi di accessibilità Android per:
▪ il furto di codici 2FA (doppia autenticazione);
▪ la disabilitazione di Google Protect;
▪ il controllo remoto dei dispostivi target
▪ l’intercettazione e l'invio di messaggi sms;
▪ l’intercettazione e l'invio di dati bancari;
Di seguito alcuni dei comandi Teabot rilevati:
▪ activ_screen: abilita il controllo dello schermo;
▪ ask_syspass: mostra un popup di autorizzazione biometrica;
▪ ask_perms: richiede i permessi agli utenti;
▪ change_pass: mostra un messaggio di avviso che informa l’utente di aggiornare la password;
▪ get_accounts: ottiene gli account dalle impostazioni Android;
▪ grab_google_auth: apre e ottiene i codici nell’app Google Auth;
▪ kill_bot: rimuove se stesso;
▪ mute_phone: disattiva l’audio del dispositivo;
▪ open_inject: esegue l’attacco overlay;
▪ start_client: definisce un indirizzo IP e un numero di porta per osservare il dispositivo compromesso tramite screenshot;
▪ swipe_down: simula gesti per lo scorrimento sullo schermo;
Teabot utilizza icone di app di istituti bancari, app multimediali famose ed app di servizi di spedizione per confondere l'utente (TeaTV, VLC MediaPlayer, Mobdro, BNL, Intesa San Paolo, BancoPosta, Unicredit, Banco MPS, DHL, UPS, ecc...); il malware rimuove la propria icona dal dispositivo per rendere più difficoltoso un suo rilevamento installandosi come servizio in background ed infine instaura una comunicazione silenziosa con i propri server. Per eseguire le proprie azioni malevoli TeaBot richiede delle specifiche autorizzazioni Android; un indizio della sua presenza è dato dalla visualizzazione del popoup di autorizzazione “REQUEST_IGNORE_BATTERY_OPTIMIZATIONS”.
▪ controllare i feedback degli utenti prima di scaricare un'applicazione;
▪ verificare sempre l’attendibilità delle app anche confrontandosi con i relativi servizi clienti;
▪ affidarsi con cautela solo agli store legittimi: Play Store resta sempre e comunque una fonte attendibile;
▪ prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie solo per il loro corretto funzionamento;
▪ tenere sempre aggiornato il proprio sistema operativo Android con gli update e le patch di sicurezza rilasciate;
▪ scansionare regolarmente il proprio dispositivo per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
La diffusione di Teabot in particolare sarebbe per il 79% in Spagna, ma anche per l'11% in Italia! Se stai riscontrando anomalie sul tuo dispositivo e pensi di essere vittima di un virus o malware, DV Informatica può aiutarti. I nostri operatori sono a tua completa disposizione contattaci per una verifica del dispositivo e maggiori informazioni.
Che cos'è Teabot
Teabot è presente in false app bank anche italiane tra cui BNL, Intesa San Paolo, BancoPosta, Unicredit e Banco MPS solo per citarne alcune. La sua finalità è quella di inoltrare le credenziali di accesso e messaggi sms all'attaccante per svolgere attività fraudolente all'insaputa dell'utente. Una volta installato, TeaBot permette ai malintenzionati di ottenere un live stream dello schermo e di interagire col dispositivo sfruttando i servizi di accessibilità di Android. Il malware possiede un supporto multilingue tra cui lingua spagnola, italiana, tedesca e olandese anche quella inglese e francese. TeaBot è stato scoperto dal TIR (Threat Intelligence and Incident Response) di Cleafy, azienda italiana di sicurezza informatica e prevenzione delle frodi informatiche.Caratteristiche di Teabot
I ricercatori indicano che TeaBot è ancora in fase di sviluppo ma può già svolgere le seguenti funzioni:▪ keylogger;
▪ screenshot del dispositivo compromesso;
▪ overlay (imitazione di un'app e/o sovrapposizione di un layer ad un’applicazione legittima);
Teabot ha caratteristiche simili ad altri trojan mobile che abusano dei servizi di accessibilità Android per:
▪ il furto di codici 2FA (doppia autenticazione);
▪ la disabilitazione di Google Protect;
▪ il controllo remoto dei dispostivi target
▪ l’intercettazione e l'invio di messaggi sms;
▪ l’intercettazione e l'invio di dati bancari;
Di seguito alcuni dei comandi Teabot rilevati:
▪ activ_screen: abilita il controllo dello schermo;
▪ ask_syspass: mostra un popup di autorizzazione biometrica;
▪ ask_perms: richiede i permessi agli utenti;
▪ change_pass: mostra un messaggio di avviso che informa l’utente di aggiornare la password;
▪ get_accounts: ottiene gli account dalle impostazioni Android;
▪ grab_google_auth: apre e ottiene i codici nell’app Google Auth;
▪ kill_bot: rimuove se stesso;
▪ mute_phone: disattiva l’audio del dispositivo;
▪ open_inject: esegue l’attacco overlay;
▪ start_client: definisce un indirizzo IP e un numero di porta per osservare il dispositivo compromesso tramite screenshot;
▪ swipe_down: simula gesti per lo scorrimento sullo schermo;
Teabot utilizza icone di app di istituti bancari, app multimediali famose ed app di servizi di spedizione per confondere l'utente (TeaTV, VLC MediaPlayer, Mobdro, BNL, Intesa San Paolo, BancoPosta, Unicredit, Banco MPS, DHL, UPS, ecc...); il malware rimuove la propria icona dal dispositivo per rendere più difficoltoso un suo rilevamento installandosi come servizio in background ed infine instaura una comunicazione silenziosa con i propri server. Per eseguire le proprie azioni malevoli TeaBot richiede delle specifiche autorizzazioni Android; un indizio della sua presenza è dato dalla visualizzazione del popoup di autorizzazione “REQUEST_IGNORE_BATTERY_OPTIMIZATIONS”.
Come proteggersi dai banking trojan per Android
Per proteggersi dalle minacce sempre più frequenti in ambiente mobile relative alle varianti dei trojan bancari, è sempre raccomandato attenersi alle seguenti misure di sicurezza:▪ controllare i feedback degli utenti prima di scaricare un'applicazione;
▪ verificare sempre l’attendibilità delle app anche confrontandosi con i relativi servizi clienti;
▪ affidarsi con cautela solo agli store legittimi: Play Store resta sempre e comunque una fonte attendibile;
▪ prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie solo per il loro corretto funzionamento;
▪ tenere sempre aggiornato il proprio sistema operativo Android con gli update e le patch di sicurezza rilasciate;
▪ scansionare regolarmente il proprio dispositivo per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
La diffusione di Teabot in particolare sarebbe per il 79% in Spagna, ma anche per l'11% in Italia! Se stai riscontrando anomalie sul tuo dispositivo e pensi di essere vittima di un virus o malware, DV Informatica può aiutarti. I nostri operatori sono a tua completa disposizione contattaci per una verifica del dispositivo e maggiori informazioni.
