Attenzione a Teabot, trojan bancario per Android che spia lo schermo: già attivo anche in Italia

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...lia_97657.html

Un nuovo malware per Android può monitorare in tempo reale ciò che avviene sullo schermo dello smartphone e compiere azioni arbitrarie: viene utilizzato per compiere attività fraudolente sfruttando i servizi bancari da remoto

Click sul link per visualizzare la notizia.

[Ugly Mau]

Mi chiedo perché nella quasi totalità di questi articoli si omettono sempre le "modalità di infezione". Questo malware lo trovo nello store ufficiale, negli store terzi, mi arriva per mail un link di un APK, altro?

[zappy]

Quote:

Originariamente inviato da Ugly Mau

Mi chiedo perché nella quasi totalità di questi articoli si omettono sempre le "modalità di infezione". Questo malware lo trovo nello store ufficiale, negli store terzi, mi arriva per mail un link di un APK, altro?

mi pare di capire che bisogna INSTALLARLO volontariamente...

[cronos1990]

L'articolo parla di installarlo.

Il problema nasce da come si fa chiamare l'applicazione. Cerchi (per dire) VLC per scaricarlo, lo trovi, lo avvii, dai le autorizzazioni... e solo a quel punto scopri che non era VLC.

[Sandro kensan]

Quote:

TeaBot appears to have all the main features of nowadays Android bankers achieved such as:

Ability to perform Overlay Attacks against multiple banks applications to steal login credentials and credit card information
Ability to send / intercept / hide SMS messages
Enabling key logging functionalities
Ability to steal Google Authentication codes
Ability to obtain full remote control of an Android device (via Accessibility Services and real-time screen-sharing)

Da quel che capisco ti fregano i soldi del conto.

[Ugly Mau]

Quote:

Originariamente inviato da zappy

mi pare di capire che bisogna INSTALLARLO volontariamente...

Questo lo immaginavo, solo che non si capisce la fonte: store ufficiale, terzi, apk...

[Sandro kensan]

Quote:

Originariamente inviato da Ugly Mau

Questo lo immaginavo, solo che non si capisce la fonte: store ufficiale, terzi, apk...

Su questo argomento se ne è già parlato. Tutte le fonti sono usate tra cui anche il google store. Proprio sul tema "soldi rubati dalla banca sul telefonino" si era detto che tramite l'app che ho intallato io sul mio cellulare o tu nel tuo cellulare che è molto utile e molto usata e del tutto legittima, presente nel google paly da molto tempo e quindi sicura, visto che sono in ballo molte centinaia di migliaia di euro si possono fare operazioni finanziarie.

I criminali informatici agiscono come una grande comunità e c'è chi si occupa dell'acquisto (legale) di app da terzi. La app che ho io e tu ha un proprietario che è probabilemtne felice di vendere la sua app a terzi (legalmente) in cambio di una ragionevole somma di denaro. Ricordiamoci che stiamo parlando di soldi presi da conti correnti e non di email rubate e password rubate dai telefonini. Quando un c/c su telefonino viene "rubato" partono bonifici da 30 mila euro all'uno e ne partono diversi, quindi sono in ballo tanti soldi per cui si possono mettere sul piatto centinaia di migliaia di euro che poi vengono recuperati con i furti.

Quindi se una app viene venduta e passa di mano e alla fine arriva nelle disponibilità di criminali allora può essere aggiornata. Cosa ci sia dentro quell'aggiornamento non si sa e può essere qualche cosa che scarica un payload compreso questo teabot.

Per farla breve si diceva nell'articolo di HWup che a anche non scaricando alcuna app si può prendere un malware. In più si diceva che google play non da nessuna garanzia per quanto riguarda il furto di conti correnti.

Il problema è il giro di soldi: se questi sono tanti si aprono porte inapribili. Nessuno si mette a comprare una app da centomila euro se devono rubare la rubrica telefonica. Ma se si parla di conti correnti allora in gioco vale molto di più della candela.

[Ugly Mau]

Quote:

Originariamente inviato da Sandro kensan

...anche non scaricando alcuna app si può prendere un malware. ....

Hai mischiato molte cose diverse tutto insieme, quindi l'unica soluzione è chiudersi in casa e staccare la corrente. Ok.

[Sandro kensan]

Quote:

Originariamente inviato da Ugly Mau

Hai mischiato molte cose diverse tutto insieme, quindi l'unica soluzione è chiudersi in casa e staccare la corrente. Ok.

Immagino che il discorso non sia semplice. Per semplificare al massimo il concetto si può esprimere tramite l'"honey-pot". Se tu metti una casetta del miele in un campo è molto facile che sia razziata da un orso. Se tu metti molti soldi un un posto allora lo devi defendere molto bene altrimenti rischi che ti svaligino. Se tu metti dei soldi in cassaforte allora la cassaforte deve essere commisurata ai soldi che ci metti.

Il cellulare e il sistema che ci sta attorno come android, google paly, gli sms, google autenticator, ecc, ha un certo livello di difesa per cui puoi metterci dentro fino a una certa cifra e non oltre.

Spero di essere stato abbastanza semplice.

[zappy]

Quote:

Originariamente inviato da Sandro kensan

......se una app viene venduta e passa di mano e alla fine arriva nelle disponibilità di criminali allora può essere aggiornata. Cosa ci sia dentro quell'aggiornamento non si sa e può essere qualche cosa che scarica un payload compreso questo teabot.

interessante meccanismo... in effetti conviene disattivare l'aggiornamento automatico...

[biometallo]

Quote:

Originariamente inviato da Ugly Mau

Questo lo immaginavo, solo che non si capisce la fonte: store ufficiale, terzi, apk...

In effetti l'articolo come altri che ho letto non indica esplicitamente quali siano i metodi di diffusione del virus, però cita varie app contraffatte che non dovrebbero essere quindi quelle ufficiali distribuite su playstore in particolare l'articolo di cybersecurity360 termina con le consuete raccomandazioni:


verificare sempre l’attendibilità delle app utilizzate, confrontandosi con i relativi servizi clienti;
controllare le valutazioni degli utenti prima di scaricare una nuova app;
affidarsi con cautela solo agli store legittimi: Google Play resta sempre e comunque una fonte attendibile;
prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie per il corretto funzionamento;
scansionare regolarmente il proprio dispositivo mobile per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
tenere sempre aggiornato il proprio sistema operativo Android con gli update e le patch di sicurezza rilasciati periodicamente.

mentre sicurezza.net dice di Importante quindi la massima attenzione – diffidate da ogni SMS sconosciuto e dall’installare app di cui non siete sicuri al 100%.

Per quanto mi riguarda io certo di tenere un profilo basso, installo il minor numero possibile di app e quelle poche che ho mi assicuro che siano vere faccio anche delle scansioni periodiche con Google play protect anche se non so in questo caso possa essere utile o meno, comunque male non dovrebbe fare.

[Ugly Mau]

Quote:

Originariamente inviato da Sandro kensan

Immagino che il discorso non sia semplice....

Veramente ero sarcastico, hai mischiato molte cose che non c'entrano molto con la questione, non si parla di app che hanno cambiato proprietario si parla di indurre installazioni sulla base di nomi simili a nomi famosi, ma non si specifica l'origine.
Lascia stare il "honeypot", in informatica ha uno scopo diverso.

[Ugly Mau]

Quote:

Originariamente inviato da zappy

interessante meccanismo... in effetti conviene disattivare l'aggiornamento automatico...

Non credo sia una buona pratica, VLC ufficiale non cambia proprietario così facilmente, così come tutte le app ufficiali dei vari servizi.
Disabilitando gli aggiornamenti invece ti esponi a veri rischi di sicurezza. Per esempio molto spesso VLC rilascia aggiornamenti, tipo per bloccare possibili attacchi veicolati tramite un semplice video. (piccolo esempio: https://www.securityinfo.it/2019/08/...mento-urgente/)

[Sandro kensan]

Quote:

Originariamente inviato da Ugly Mau

Non credo sia una buona pratica, VLC ufficiale non cambia proprietario così facilmente, così come tutte le app ufficiali dei vari servizi.
Disabilitando gli aggiornamenti invece ti esponi a veri rischi di sicurezza. Per esempio molto spesso VLC rilascia aggiornamenti, tipo per bloccare possibili attacchi veicolati tramite un semplice video. (piccolo esempio: https://www.securityinfo.it/2019/08/...mento-urgente/)

Sconsiglio pure io di non aggiornare il sistema, non ho presente il grado di granularità che si possono avere nelle impostazioni per gli aggiornamenti ma anche se fosse possibili bloccare gli aggiornamenti per una singola app non è il caso di farlo. Anche se l'app che hai è "cacolatrice" potrebbe avere bachi pericolosi.

[zappy]

Quote:

Originariamente inviato da Ugly Mau

Non credo sia una buona pratica, VLC ufficiale non cambia proprietario così facilmente, così come tutte le app ufficiali dei vari servizi.

certo, VLC è un sw molto famoso e molto diffuso.
mi riferivo ai miliardi di altre app molto meno famose, diffuse, dietro cui non si sa bene chi ci sia.

Quote:

Originariamente inviato da Sandro kensan

Sconsiglio pure io di non aggiornare il sistema, non ho presente il grado di granularità che si possono avere nelle impostazioni per gli aggiornamenti ma anche se fosse possibili bloccare gli aggiornamenti per una singola app non è il caso di farlo. Anche se l'app che hai è "cacolatrice" potrebbe avere bachi pericolosi.

il "sistema" è una cosa (e lo aggiorna il produttore del telefono)
le app un'altra (e si può disabilitare singolarmente l'aggiornamento). Ecco, la calcolatrice, se non è quella preinstallata ma una delal millemila che si possono trovare sul playstore, mi sembra proprio il tipo di app esposta all'attacco che hai descritto.

[Sandro kensan]

Quote:

Originariamente inviato da zappy

certo, VLC è un sw molto famoso e molto diffuso.
mi riferivo ai miliardi di altre app molto meno famose, diffuse, dietro cui non si sa bene chi ci sia.

il "sistema" è una cosa (e lo aggiorna il produttore del telefono)
le app un'altra (e si può disabilitare singolarmente l'aggiornamento). Ecco, la calcolatrice, se non è quella preinstallata ma una delal millemila che si possono trovare sul playstore, mi sembra proprio il tipo di app esposta all'attacco che hai descritto.

Concordo con il tuo ragionamento, Se uno dovesse essere costretto a installare solo le app "famose" come fb, l'app della banca, vlc, ecc, allora il telefono sarebbe molto poco utile. Quel che fa l'utilità è che si può istallare altre appa oltre a quelle famose e che risolvono un nostro problema specifico. Quindi non è che ci sia molta scelta riguardo alla sicurezza. O si decide di usare uno smartphone in modo menomato con solo le app famose oppure si rischia.

[zappy]

Quote:

Originariamente inviato da Sandro kensan

Concordo con il tuo ragionamento, Se uno dovesse essere costretto a installare solo le app "famose" come fb, l'app della banca, vlc, ecc, allora il telefono sarebbe molto poco utile. Quel che fa l'utilità è che si può istallare altre appa oltre a quelle famose e che risolvono un nostro problema specifico. Quindi non è che ci sia molta scelta riguardo alla sicurezza. O si decide di usare uno smartphone in modo menomato con solo le app famose oppure si rischia.

o si disattiva l'aggiornamento di queste app "semisconosciute"...

[Sandro kensan]

Quote:

Originariamente inviato da zappy

o si disattiva l'aggiornamento di queste app "semisconosciute"...

Non è che ci sia molta differenza tra una app non aggiornata e una app acquistata dai malavitosi. Entrambe possono scaricare un payload come teabot. Certo dipende dalle vulnerabilità delle app ma se sono tante e tutte non aggiornate c'è probabilmente qualche app che da remoto può essere exploitabile.

Mi viene in mente una app che aveva un baco per cui era possibile da remoto avvisare l'utente che c'era un aggiornamento da fare e che andava fatto al più presto e indicava anche il link. Questo link era fake e chi lo usava scaricava l'aggiornamento dell'app con un malware. Altri bug permettono da remoto l'esecuzione di codice arbitrario. altri bloccano il sistema. C'è di tutto. Non penso sia una buona idea.

[kreijack]

Quote:

Originariamente inviato da Svelgen

Azz...
Abbastanza pericoloso ma credo sia pressoché inutile con le attuali norme di sicurezza per le operazioni home banking.

Se puoi fare le operazioni dal telefono e l'unica fonte di autenticazione è il telefono stesso, un software che può impersonare l'utente (l'articolo parla di vedere ed interagire) in effetti può accedere al conto...

E' vero che ci sono alcune informazioni che conosce solo l'utente (p.e. il pin di accesso); ma osservando un certo numero di accessi è possibile ricostruirlo.

Forse è più sicura l'autenticazione attraverso l'impronta, ma normalmente è by-passabile con un pin.

P.e. l'app IngDirect controlla gli accessi con i pin; osservando lo schermo un certo numero di volte, è possibile 'carpirli'; e a quel punto se questo trojan può interagire con il cell è possibile l'accesso al conto.

Prima usavo l'accesso SMS+Web browser su PC. Poi purtroppo ho installa l'app e non sono più potuto tornare indietro. Ho sempre ritenuto più sicuro l'accesso SMS + Web browser su PC, perché per forzarlo.. bisogna forzare i due sistemi.

[Sandro kensan]

Quote:

Originariamente inviato da kreijack

Se puoi fare le operazioni dal telefono e l'unica fonte di autenticazione è il telefono stesso, un software che può impersonare l'utente (l'articolo parla di vedere ed interagire) in effetti può accedere al conto...

Le questioni tecniche sono al di la della mia portata ma il principio che enunci è valido per i PC e non vedo perché in molti non capiscano che è valido anche per gli smartphone. Quindi sottoscrivo il tuo pensiero.

Quote:

Originariamente inviato da kreijack

Prima usavo l'accesso SMS+Web browser su PC. Poi purtroppo ho installa l'app e non sono più potuto tornare indietro. Ho sempre ritenuto più sicuro l'accesso SMS + Web browser su PC, perché per forzarlo.. bisogna forzare i due sistemi.

Ecco, questo mi pare il punto cruciale che riguarda l'utente comune. Io ho evitato come la peste di avere l'app, è un sistema di sicurezza di tipo gruviera e quindi va bene per metterci dentro 10 euro, se li perdo o me li rubano non vado in bancarotta, mi spreco: 100 euro!

Per me la sicurezza è la banca sul PC con token fisico e sms su un terzo dispositivo (il cellulare). Tre dispositivi separati di cui uno non collegato a Internet (il token fisico) mi pare il giusto grado di sicurezza.

Quindi riassumendo concordo col tuo pensiero.