Il noto malware bancario Teabot è di nuovo attivo e pronto a colpire gli ignari utenti di dispositivi Android: una nuova variante del suo codice malevolo è stata infatti isolata nuovamente nel Google Play Store e si calcolano già parecchie infezioni, visti i numeri di download registrati dall’app utilizzata dai crimina hacker per nasconderla e diffonderla.
Indice degli argomenti
Che cos’è Teabot
Si tratta di un malware bancario, scoperto per la prima volta circa un anno fa, all’inizio del 2021. Viene distribuito tramite app per Android, nel Google Play Store. In particolarer, in quest’ultima rilevazione Teabot si nasconde in una app per la lettura dei QR code che tra le altre cose, ha già accumulato un discreto successo con 10.000 download effettuati.
Teabot mira a funzionare con le più note banche europee e la sua prima apparizione (quella del 2021) ha già mietuto numerose vittime anche in Italia.
I ricercatori di Cleafy (società di sicurezza specializzata in frodi online) hanno scoperto TeaBot a febbraio all’interno dell’applicazione “QR Code & Barcode – Scanner”, che sembra essere un vero e proprio software di scansione di codici QR. L’applicazione richiede un aggiornamento tramite un messaggio popup dopo l’installazione. Tuttavia, l’aggiornamento viene recuperato da una fonte esterna, contrastando il metodo standard impostato dalle regole del Play Store.
Così Teabot infetta i dispositivi Android
Con la richiesta di aggiornamento, esterno al Play Store, l’app garantisce l’entrata nel nostro dispositivo del codice malevolo: la fonte del download, su cui si basa questo primo aggiornamento che viene richiesto, è stata fatta risalire a due repository GitHub appartenenti allo stesso utente (feleanicusor), ciascuno dei quali includeva diversi campioni di TeaBot pubblicati entrambi il 17 febbraio 2022.
TeaBot viene installato come nuova app sullo smartphone della vittima con il nome “QR Code Scanner: Add-On“, sempre che l’utente accetti l’aggiornamento da fonte non attendibile, come di fatto è qualsiasi altra fonte esterna al Play Store o a Store ufficiali di nota popolarità e trusted.
La nuova app si avvia immediatamente e richiede l’autorizzazione per consentire ai Servizi di accessibilità di Android di svolgere le seguenti attività:
- visualizza lo schermo del dispositivo e scatta schermate che mostrano credenziali di accesso, codici 2FA, contenuto SMS ecc.;
- esegue attività in background, come la concessione automatica di diritti extra, senza richiedere azioni aggiuntive da parte dell’utente.
Si tratta, dunque, di un abuso dell’accesso remoto e condivisione di schermo che, di fatto, rende il dispositivo gestibile da remoto e sopratutto da occhi di terze parti non autorizzate.
Teabot è diffuso globalmente
Superando di fatto, con la tecnica degli aggiornamenti esterni, i controlli messi in essere da Google e operando contro le policy di sviluppo stabilite dal Play Store, l’app riesce a garantire la diffusione del codice malevolo di Teabot.
A livello geografico, la diffusione sembra globale: le vittime di Teabot, infatti, sarebbero diffuse negli Stati Uniti, in Asia, Italia (con una certa popolarità superiore rispetto all’Europa), Europa e Australia.
Nonostante Google abbia apportato delle migliorie, sia tecniche che normative, con Android 12, questa tipologia di malware orientati alle frodi bancarie riescono ancora a sfruttare l’ondata di dispositivi non aggiornati e modi di agire poco sicuri, come in questo caso l’installazione i applicazioni da fonti di terze parti.
I consigli per difendersi dalle truffe bancarie
Per difendersi da teabot e rimanere alla larga da possibili truffe bancarie, consigliamo sempre di installare app, aggiornamenti o scaricare documenti eseguibili solamente da fonti certificate, note e affidabili, delle quali se ne può facilmente verificare l’attendibilità.
Come abbiamo visto, la diffusione di Teabot è massiccia anche in Italia: ciò conferma che, sempre più spesso, anche le banche nostrane si trovano a fronteggiare questa minaccia per mitigare il rischio a cui sono esposti i propri clienti. Di fatto, però, un controllo di audit interno sulle operazioni online, eseguito a campione, non sempre può essere sufficiente a garantire la sicurezza di un dispositivo infettato. Per cui, dare il consenso per eseguire un aggiornamento, tramite fonte esterne, di un’app installata da Play Store, non è un’operatività corretta e deve immediatamente destare qualche sospetto.
