Malware Teabot

Il malware Teabot è una nuova minaccia Trojan Android che viene implementata negli attacchi di phishing che prendono di mira gli utenti in tutta Europa. La funzione principale del ceppo malware è raccogliere credenziali e intercettare SMS Messenger per commettere operazioni di frode finanziaria contro una moltitudine di banche europee. "Una volta installato sul dispositivo compromesso, il malware Teabot può fornire all'attore della minaccia un live streaming dello schermo di quel dispositivo, abusando anche dei servizi di accessibilità per eseguire altre attività dannose".

La prima azione del malware consiste nel tentare di installarsi come "servizio Android", una designazione per i componenti dell'applicazione a cui è consentito eseguire operazioni di lunga durata in background del dispositivo. Sfruttando questa funzionalità, Teabot può nascondere la sua presenza all'utente, rendere il suo rilevamento molto più difficile e garantire la sua persistenza sul dispositivo violato. Richiedendo varie autorizzazioni Android, il malware può iniziare a osservare le azioni dell'utente ed eseguire gesti arbitrari, recuperando anche il contenuto della finestra sensibile.

Teabot è in fase di sviluppo attivo

Durante il periodo in cui i ricercatori stavano osservando l'operazione Teabot, hanno visto una drastica espansione negli obiettivi del malware. Inizialmente, la minacciosa campagna si è concentrata esclusivamente sulle banche spagnole, ma presto è cresciuta fino a interessare anche le banche in Germania e in Italia. Le ultime versioni di Teabot potrebbero essere utilizzate in attività fraudolente contro più di 60 banche europee situate in Spagna, Germania, Italia, Belgio e Paesi Bassi. Il malware supporta 6 lingue diverse: spagnolo, inglese, tedesco, francese, olandese e italiano.

Allo stesso tempo, l'applicazione minacciosa che trasportava la minaccia è passata rapidamente da più travestimenti diversi. Inizialmente si presentava come un'applicazione chiamata TeaTV. L'attore della minaccia ha quindi provato diversi nomi, alcuni impersonando applicazioni legittime e popolari come "VLC MediaPlayer", "Mobdro", "UPS", "DHL" e "bpost".