Attenzione a Teabot, trojan bancario per Android che spia lo schermo: già attivo anche in Italia

Attenzione a Teabot, trojan bancario per Android che spia lo schermo: già attivo anche in Italia

Un nuovo malware per Android può monitorare in tempo reale ciò che avviene sullo schermo dello smartphone e compiere azioni arbitrarie: viene utilizzato per compiere attività fraudolente sfruttando i servizi bancari da remoto

di pubblicata il , alle 09:32 nel canale Sicurezza
Android
 

I ricercatori di sicurezza di Cleafy hanno individuato un nuovo trojan per Android che, una volta installato nel dispositivo-bersaglio, permette ai suoi operatori di osservare in tempo reale ciò che accade sullo schermo dello smartphone della vittima, interagire con esso e recuperare dati e informazioni riservate.

Il nuovo malware è stato denominato Teabot, e sarebbe già stato usato nel concreto per sottrarre credenziali di utenti e visionare SMS così da poter compiere attività fraudolente usando app e servizi bancari. I ricercatori affermano di aver riscontrato casi in Spagna, Germania, Belgio, Paesi Bassi e anche in Italia.

Il malware Teabot sarebbe comunque oggetto di uno sviluppo continuativo. Inizialmente il trojan si è concentrato solamente sulle banche spagnole, per poi spostare la sua attenzione anche a quelle tedesche e italiane. I ricercatori di Cleafy hanno individuato per la prima volta il trojan bancario lo scorso gennaio, scoprendo che poteva consentire attività illecite contro oltre 60 banche in tutta Europa. Alla fine del mese di marzo è stato scoperto che il trojan veniva usato contro le banche italiane e nei giorni scorsi è stata ottenuta la conferma di attività fraudolente anche verso istituti bancari in Belgio e Paesi Bassi.

Teabot supporta sei lingue differenti (spagnolo, inglese, italiano, tedesco, francese, olandese) e viene distribuita con vari nomi: il primo è stato "TeaTV", successivamente cambiato in nomi più noti come "VLC MediaPlayer", "Mobdro", "DHL", "UPS" e "bpost".

Quando il malware viene installato sul dispositivo, l'utente vedrà comparire una richiesta di autorizzazioni da parte di Android per consentire il monitoraggio delle attività e l'esecuzione di gesture arbitrarie: nel caso in cui le autorizzazioni vengano concesse, l'app provvederà inoltre a cancellare la sua icona. "Quando l'app viene scaricata sul dispositivo, tenta di installarsi come Servizio Android, ovvero un componente in grado di eseguire operazioni in background per lunghi periodi di tempo. TeaBot abusa di questa funzione per nascondersi dall'utente, impedendo il rilevamento e garantendosi persistenza" spiega il team di Cleafy.

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Ugly Mau12 Maggio 2021, 12:50 #1
Mi chiedo perché nella quasi totalità di questi articoli si omettono sempre le "modalità di infezione". Questo malware lo trovo nello store ufficiale, negli store terzi, mi arriva per mail un link di un APK, altro?
zappy12 Maggio 2021, 14:29 #2
Originariamente inviato da: Ugly Mau
Mi chiedo perché nella quasi totalità di questi articoli si omettono sempre le "modalità di infezione". Questo malware lo trovo nello store ufficiale, negli store terzi, mi arriva per mail un link di un APK, altro?


mi pare di capire che bisogna INSTALLARLO volontariamente...
cronos199012 Maggio 2021, 14:39 #3
L'articolo parla di installarlo.

Il problema nasce da come si fa chiamare l'applicazione. Cerchi (per dire) VLC per scaricarlo, lo trovi, lo avvii, dai le autorizzazioni... e solo a quel punto scopri che non era VLC.
Sandro kensan12 Maggio 2021, 17:42 #4
TeaBot appears to have all the main features of nowadays Android bankers achieved such as:

Ability to perform Overlay Attacks against multiple banks applications to steal login credentials and credit card information
Ability to send / intercept / hide SMS messages
Enabling key logging functionalities
Ability to steal Google Authentication codes
Ability to obtain full remote control of an Android device (via Accessibility Services and real-time screen-sharing)


Da quel che capisco ti fregano i soldi del conto.
Ugly Mau12 Maggio 2021, 19:57 #5
Originariamente inviato da: zappy
mi pare di capire che bisogna INSTALLARLO volontariamente...


Questo lo immaginavo, solo che non si capisce la fonte: store ufficiale, terzi, apk...
Sandro kensan12 Maggio 2021, 20:13 #6
Originariamente inviato da: Ugly Mau
Questo lo immaginavo, solo che non si capisce la fonte: store ufficiale, terzi, apk...


Su questo argomento se ne è già parlato. Tutte le fonti sono usate tra cui anche il google store. Proprio sul tema "soldi rubati dalla banca sul telefonino" si era detto che tramite l'app che ho intallato io sul mio cellulare o tu nel tuo cellulare che è molto utile e molto usata e del tutto legittima, presente nel google paly da molto tempo e quindi sicura, visto che sono in ballo molte centinaia di migliaia di euro si possono fare operazioni finanziarie.

I criminali informatici agiscono come una grande comunità e c'è chi si occupa dell'acquisto (legale) di app da terzi. La app che ho io e tu ha un proprietario che è probabilemtne felice di vendere la sua app a terzi (legalmente) in cambio di una ragionevole somma di denaro. Ricordiamoci che stiamo parlando di soldi presi da conti correnti e non di email rubate e password rubate dai telefonini. Quando un c/c su telefonino viene "rubato" partono bonifici da 30 mila euro all'uno e ne partono diversi, quindi sono in ballo tanti soldi per cui si possono mettere sul piatto centinaia di migliaia di euro che poi vengono recuperati con i furti.

Quindi se una app viene venduta e passa di mano e alla fine arriva nelle disponibilità di criminali allora può essere aggiornata. Cosa ci sia dentro quell'aggiornamento non si sa e può essere qualche cosa che scarica un payload compreso questo teabot.

Per farla breve si diceva nell'articolo di HWup che a anche non scaricando alcuna app si può prendere un malware. In più si diceva che google play non da nessuna garanzia per quanto riguarda il furto di conti correnti.

Il problema è il giro di soldi: se questi sono tanti si aprono porte inapribili. Nessuno si mette a comprare una app da centomila euro se devono rubare la rubrica telefonica. Ma se si parla di conti correnti allora in gioco vale molto di più della candela.
Ugly Mau12 Maggio 2021, 20:43 #7
Originariamente inviato da: Sandro kensan
...anche non scaricando alcuna app si può prendere un malware. ....

Hai mischiato molte cose diverse tutto insieme, quindi l'unica soluzione è chiudersi in casa e staccare la corrente. Ok.
Sandro kensan12 Maggio 2021, 20:49 #8
Originariamente inviato da: Ugly Mau
Hai mischiato molte cose diverse tutto insieme, quindi l'unica soluzione è chiudersi in casa e staccare la corrente. Ok.


Immagino che il discorso non sia semplice. Per semplificare al massimo il concetto si può esprimere tramite l'"honey-pot". Se tu metti una casetta del miele in un campo è molto facile che sia razziata da un orso. Se tu metti molti soldi un un posto allora lo devi defendere molto bene altrimenti rischi che ti svaligino. Se tu metti dei soldi in cassaforte allora la cassaforte deve essere commisurata ai soldi che ci metti.

Il cellulare e il sistema che ci sta attorno come android, google paly, gli sms, google autenticator, ecc, ha un certo livello di difesa per cui puoi metterci dentro fino a una certa cifra e non oltre.

Spero di essere stato abbastanza semplice.
zappy12 Maggio 2021, 21:16 #9
Originariamente inviato da: Sandro kensan
......se una app viene venduta e passa di mano e alla fine arriva nelle disponibilità di criminali allora può essere aggiornata. Cosa ci sia dentro quell'aggiornamento non si sa e può essere qualche cosa che scarica un payload compreso questo teabot.

interessante meccanismo... in effetti conviene disattivare l'aggiornamento automatico...
biometallo12 Maggio 2021, 21:20 #10
Originariamente inviato da: Ugly Mau
Questo lo immaginavo, solo che non si capisce la fonte: store ufficiale, terzi, apk...


In effetti l'articolo come altri che ho letto non indica esplicitamente quali siano i metodi di diffusione del virus, però cita varie app contraffatte che non dovrebbero essere quindi quelle ufficiali distribuite su playstore in particolare l'articolo di cybersecurity360 termina con le consuete raccomandazioni:


verificare sempre l’attendibilità delle app utilizzate, confrontandosi con i relativi servizi clienti;
controllare le valutazioni degli utenti prima di scaricare una nuova app;
affidarsi con cautela solo agli store legittimi: Google Play resta sempre e comunque una fonte attendibile;
prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie per il corretto funzionamento;
scansionare regolarmente il proprio dispositivo mobile per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
tenere sempre aggiornato il proprio sistema operativo Android con gli update e le patch di sicurezza rilasciati periodicamente.


mentre sicurezza.net dice di Importante quindi la massima attenzione – diffidate da ogni SMS sconosciuto e dall’installare app di cui non siete sicuri al 100%.

Per quanto mi riguarda io certo di tenere un profilo basso, installo il minor numero possibile di app e quelle poche che ho mi assicuro che siano vere faccio anche delle scansioni periodiche con Google play protect anche se non so in questo caso possa essere utile o meno, comunque male non dovrebbe fare.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^