Banche nuovamente sotto attacco in Europa: la causa è TeaBot, trojan bancario nascosto dentro app malevole capace di prendere il possesso dello smartphone rubando le credenziali e i dati sensibili per l’accesso ai servizi finanziari dell’ignaro utente. Insomma, un altro caso simile a quello già registrato lo scorso anno con Cerberus, con cui questo malware ha molti punti in comune.
La sua diffusione su Android è partita a inizio anno, e a quanto pare sta proseguendo incessantemente coinvolgendo un numero sempre crescente di Paesi, Italia inclusa. Nonostante alcuni indizi portino a pensare che si tratti di un malware ancora in fase di sviluppo, il suo funzionamento pare essere già molto efficace (e l’inserimento da parte degli hacker di codice spazzatura ne impedisce una “facile” comprensione) ed è tra l’altro anche apparentemente semplice: riproduce in video streaming ciò che appare a schermo e consente all’hacker di interagire con lo smartphone controllato da remoto sfruttando i servizi di accessibilità di Android.
Con TeaBot è dunque possibile entrare in possesso dei codici 2FA per la doppia autenticazione, inviare SMS falsi, rubare dati bancari e disabilitare Google Protect. Questo perché il trojan riesce a intercettare i tasti premuti sulla tastiera (keylogger), acquisisce screenshot e può sfruttare anche l’overlay, tecnica con cui si imita un’app o si sovrappone (overlay significa appunto sovrapposizione) una falsa app a quella genuina tramite WebView.
- il trojan viene scaricato tramite app malevola – alcuni esempi: VLC MediaPlayer, DHL, UPS
- la sua presenza non si vede, opera in background mettendosi in contatto con il server di comando e controllo
- ottiene autorizzazioni Android per poter operare liberamente
- una volta completata l’operazione di installazione, l’icona del malware si auto-cancella, senza lasciare alcuna traccia
TeaBot viene considerato molto pericoloso proprio per la semplicità con cui può essere installato. Sfrutta i servizi di accessibilità di Android senza che l’utente se ne accorga, e attivando lo streaming dei contenuti a schermo sullo smartphone permette agli hacker di avere pieno accesso ai dati sensibili.