Un nuovo trojan che si maschera dietro app di media player e consegna pacchi per spiare gli utenti e rubare loro le credenziali bancarie, sta minacciando la sicurezza informatica dei dispositivi Android.
Denominato TeaBot, questo trojan dirotta le credenziali degli utenti e sfrutta messaggi SMS per agevolare le attività fraudolente attraverso i nomi di banche ubicate in Spagna, Germania, Italia, Belgio e Paesi Bassi. Gli SMS hanno il ruolo di presentare agli utenti, potenziali vittime, alcuni scenari di frode in cui è chiamato in causa un elenco predefinito di banche realmente esistenti.
Una volta installato TeaBot nel dispositivo, gli attaccanti possono leggere il contenuto dello schermo del dispositivo infetto e interagire con esso tramite i servizi di accessibilità; ciò comporta la possibilità di rubare le credenziali delle vittime.
L’app dannosa è mascherata da servizi di media player e consegna pacchi, come per esempio VLC Media Player, DHL e UPS. L’app originaria agisce come un dropper, quindi carica un payload e convince la vittima a concedere le autorizzazioni al servizio di accessibilità. TeaBot sfrutta proprio questo accesso per ottenere l’interazione in tempo reale con il dispositivo compromesso. Di conseguenza, gli attaccanti possono registrare le sequenze di tasti, catturare screenshot e iniettare sovrapposizioni dannose sopra alle schermate di accesso delle app bancarie per rubare credenziali e informazioni sulle carte di credito.
Inoltre, TeaBot è in grado di disabilitare Google Play Protect e intercettare i messaggi SMS per ottenere l’accesso ai codici 2FA di Google Authenticator. Le informazioni raccolte vengono esfiltrate ogni 10 secondi in un server remoto di comando e controllo.
I ricercatori di Cleafy considerano che questa minaccia sia nelle sue prime fasi di sviluppo con le prime azioni risalenti a gennaio e il grosso delle attività registrato a fine marzo 2021, quando ha preso di mira app finanziarie che hanno portato a maggio a una catena di infezioni che ha coinvolto istituti bancari di Belgio e Olanda.
