È stato individuato un nuovo malware per dispositivi Android che colpisce le banche in Italia e in diversi altri paesi europei: i ricercatori che l’hanno scoperto riferiscono che ha preso di mira dispositivi degli utenti spacciandosi come app per il live streaming o di spedizionieri, attivando funzioni per l’accessibilità dei dispositivi che hanno permesso di recuperare credenziali e altri dati.
Il malware, denominato Teabot dai ricercatori di Cleafy, è stato sfruttato per dirottare le credenziali di utenti e messaggi SMS, prendendo di mira gli utenti di banche in Spagna, Germania, Italia, Belgio e Paesi Bassi. Il Threat Intelligence and Incident Response team di Cleafy ha individuato il trojan bancario a gennaio, spiegando che ha colpito 60 diversi istituti europei. Dal 29 marzo, gli analisti di Cleafy hanno individuato il trojan in uso per colpire banche italiane, e da maggio per prendere di mira banche in Belgio e Olanda.
I ricercatori riferiscono che il malware sembra ancora in fase di sviluppo, con obiettivi iniziali banche in Germania e Italia, e con supporto per sei diverse lingue, incluse: spagnolo, inglese, italiano, tedesco, francese e olandese. L’app era inizialmente denominata TeaTV ma poi titoli più “accattivanti” quali “VLC MediaPlayer,” “Mobdro,” “DHL,” “UPS” e “bpost”, per attirare l’attenzione di ignari utenti che pensano di scaricare app che non fanno nulla di male.
Scaricando l’app malevola sul dispositivo, questa prova a installarsi come Servizio Android, componente in grado di svolgere svariate attività in backgroud; la funzionalità in questione è stata sfruttata per nascondere l’attività all’utente, impedire il rilevamento e assicurare la persistenza. Una volta installata, TeaBot richiede i permessi Android per osservare le azioni degli utenti, individuare il contenuto delle finestre, eseguire gesture arbitrarie; ottenuti i permessi di cui ha bisogno, l’app rimuove l’icona dal dispositivo.
Saumitra Das, CTO di Blue Hexagon, azienda specializzata in sicurezza, riferisce che Teabot rappresenta una svolta nell’ambito delle app malevole, poiché mette in atto funzioni che vanno al di là delle tipiche app malevole. Gli esperti in sicurezza sottolineano che, anche se queste app non sono su Google Play, vengono sfruttate tecniche di phishing/ingegneria sociale per convincere gli utenti a scaricarle da siti terzi, e minacce di questo tipo non devono essere sottovalutate.
I trojan bancari non sono una novità e negli anni passati più volte sono stati segnalati malware in grado di prosciugare un conto in banca.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
