Si chiama TeaBot il nuovo trojan bancario per Android che da inizio anno sta prendendo di mira utenti in tutta Europa dirottando le loro credenziali di accesso e i messaggi SMS per facilitare attività fraudolente contro le banche in Italia, Spagna, Germania, Belgio e Paesi Bassi.
Negli ultimi giorni, in particolare, gli sviluppatori di TeaBot hanno aggiunto altre sette false app bank italiane come target dei loro attacchi tra cui grossi nomi come BNL, Intesa San Paolo, BancoPosta, Unicredit e Banco MPS, a dimostrazione del fatto che il nostro Paese è tra quelli più esposti alla minaccia di frodi bancarie.
Una volta installato con successo nel dispositivo della vittima, infatti, TeaBot consente agli attaccanti di ottenere un live stream dello schermo e interagire col dispositivo stesso sfruttando i servizi di accessibilità di Android.
TeaBot è stato scoperto dal Threat Intelligence and Incident Response (TIR) di Cleafy, azienda italiana di sicurezza informatica e prevenzione delle frodi online che al momento ha identificato più di 60 banche come obiettivi del malware.
Indice degli argomenti
Gli obiettivi di TeaBot
In particolare, nel suo rapporto, il TIR di Cleafy ha osservato che da un’approfondita analisi di una nuova ondata di campioni rilevata nel mese di marzo 2021, sono stati riscontrati, per la prima volta, molteplici payload nei confronti delle banche italiane e tedesche. Invece solo dall’inizio del mese di maggio sarebbe stata rilevata anche l’inclusione d’iniezioni malevole contro banche belghe e olandesi.
Inoltre, altre evidenze dimostrerebbero che il malware possiederebbe un supporto multilingue comprendente oltre la lingua spagnola, italiana, tedesca e olandese anche quella inglese e francese.
Distribuzione geografica delle banche attualmente prese di mira da TeaBot.
TeaBot: le caratteristiche tecniche
TeaBot, pur essendo nelle prime fasi di sviluppo (come evidenziato da alcune irregolarità riscontrate durante l’analisi), sarebbe dotato di alcune funzionalità che abusano dei servizi di accessibilità Android con caratteristiche comuni anche ad altri noti trojan mobile:
- il controllo remoto dei dispostivi target
- il furto di codici 2FA (doppia autenticazione);
- l’invio e l’intercettazione di messaggi SMS;
- l’esfiltrazione di dati bancari;
- la disabilitazione di Google Protect.
Più precisamente, tra le principali caratteristiche osservate durante l’analisi dei campioni, i ricercatori avrebbero identificato funzionalità di:
- keylogger (simili a quelle già riscontrate nel trojan bancario EventBot, anche se, a differenza di quest’ultime, tracciano solo la presenza di alcune app mirate, generando quindi meno traffico nella comunicazione C2);
- screenshot (per acquisire immagini allo scopo di monitorare costantemente lo schermo del dispositivo compromesso);
- overlay (tecnica nota e già implementata sui famigerati trojan Android Anubis, Cerberus e Alien e che consiste nell’imitare una app o sovrapporre un WebView ad un’applicazione legittima).
Di seguito si riassumono in un elenco alcuni dei comandi TeaBot rilevati durante l’analisi tecnica effettuata dal TIR di Cleafy:
- ask_syspass: mostra un popup di autorizzazione biometrica;
- ask_perms: richiede i permessi agli utenti;
- change_pass: mostra un messaggio di avviso che informa l’utente di aggiornare la password;
- get_accounts: ottiene gli account dalle impostazioni Android;
- kill_bot: rimuove se stesso;
- mute_phone: consente di disattivare l’audio del dispositivo;
- open_inject: esegue l’attacco overlay, avviando l’iniezione;
- start_client: definisce un indirizzo IP e un numero di porta da utilizzare per osservare il dispositivo compromesso tramite screenshot;
- swipe_down: simula gesti per lo scorrimento sullo schermo;
- grab_google_auth: apre e ottiene i codici nell’app Google Auth;
- activ_screen: abilita il controllo dello schermo del dispositivo.
TeaBot: indicatori e catena d’infezione
Gli sviluppatori di TeaBot hanno utilizzato, per rendere più difficoltoso il reverse engineering, delle tecniche di anti analisi già impiegate da altri malware simili, come ad esempio l’utilizzo di “codice spazzatura”, la crittografata XOR anche se parziale e una catena infettiva suddivisa in due stadi in cui l’app vera e propria funge da dropper che carica dinamicamente in una seconda fase il payload effettivo (.dex).
Icone di alcune delle app utilizzate da TeaBot per camuffarsi.
Inoltre, quando l’app malevola viene scaricata sul dispositivo (secondo i ricercatori, l’app sarebbe stata propinata nel tempo con diversi nomi quali TeaTV, VLC MediaPlayer, Mobdro, DHL, UPS, bpost e con modalità simili a quelle impiegate nelle recenti campagne Flubot), TeaBot tenta di nascondersi anche all’utente, impedendone il rilevamento e garantendo la persistenza, installandosi come servizio in background e istaurando, sin dall’inizio, una comunicazione silenziosa con il proprio server di comando e controllo C2 (185.215.113 [.] 31, kopozkapalo [.] xyz, sepoloskotop [.] xyz, 178.32.130 [.] 170).
Successivamente, per poter eseguire le operazioni malevoli per le quali è stato programmato, TeaBot richiede delle specifiche autorizzazioni Android allo scopo di intercettare e osservare le azioni dell’utente, recuperare informazioni sensibili ed eseguire comandi arbitrari come ad esempio visualizzare il popup di autorizzazione “REQUEST_IGNORE_BATTERY_OPTIMIZATIONS”.
Solo alla fine, a installazione completata con successo, il malware procede a rimuovere la propria icona dal dispositivo, nel tentativo di ridurre la possibilità di una ulteriore individuazione da parte dell’utente.
Screenshot acquisiti durante la fase d’installazione di TeaBot mascherato da app VLC MediaPlayer.
Come avviene la comunicazione col server C2
Dall’analisi condotta sulla comunicazione di rete che il malware TeaBot instaura con il proprio server C2, il team di sicurezza ha identificato tre tipologie principali di comunicazione definite attraverso delle api deputate rispettivamente:
- all’aggiornamento della configurazione (“botupdate”, ogni 10 secondi Teabot invia una richiesta POST con informazioni relative al dispositivo compromesso e crittografate tramite algoritmo XOR con chiave comune “66”);
- al recupero dell’elenco delle app targettizzate (“getkeyloggers”, ogni 10 secondi Teabot esegue una richiesta GET);
- all’iniezione di codice in relazione alle app target rilevate (“getbotinjects”, Teabot durante la prima fase di infezione invia con una richiesta POST un record JSON, non crittografato, contenente il nome del pacchetto installato sul dispositivo compromesso sulla base del quale riceverà in risposta le relative injection).
Come proteggersi dai banking trojan per Android
Come affermato dagli stessi ricercatori, TeaBot, in modo simile al malware per Android Oscorp, cerca di ottenere un’interazione in real-time con i dispositivi compromessi, al fine di eseguire uno scenario di attacco ATO (Account Takeover) abusando semplicemente dei servizi di accessibilità Android per acquisire in modo fraudolento il controllo dei nuovi dispositivi.
Pertanto, per proteggersi dalle minacce sempre più dilaganti in ambiente mobile correlate alle innumerevoli varianti dei trojan bancari, è sempre raccomandabile seguire almeno delle misure minime di sicurezza:
- verificare sempre l’attendibilità delle app utilizzate, confrontandosi con i relativi servizi clienti;
- controllare le valutazioni degli utenti prima di scaricare una nuova app;
- affidarsi con cautela solo agli store legittimi: Google Play resta sempre e comunque una fonte attendibile;
- prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie per il corretto funzionamento;
- scansionare regolarmente il proprio dispositivo mobile per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
- tenere sempre aggiornato il proprio sistema operativo Android con gli update e le patch di sicurezza rilasciati periodicamente.
Articolo pubblicato il 12 maggio 2021 e aggiornato in seguito alla scoperta delle sette app di banche italiane aggiunte all’arsenale del malware.
