Teabot malware all’attacco degli smartphone

Scritto da Webristle

Mar 23, 2022

Marzo 23, 2022

Ransomware | Sicurezza | Tech Debates

Teabot il trojan bancario: cos’è e come difendersi

Aveva fatto la sua comparsa nel maggio scorso e adesso sembra essere tornato; stiamo parlando di Teabot, un trojan bancario in grado di rubare i dati di accesso ai conti degli utenti.

Nascosto in app all’apparenza non pericolose, Teabot aveva creato già nel 2021 non pochi problemi, insediandosi nei dispositivi dei malcapitati e rubandone le credenziali di accesso a numerose banche, tra cui Intesa San Paolo, Banca Nazionale del Lavoro e Unicredit.

Attivo in numerosi Stati europei, Italia compresa, la prima versione del trojan era stata bloccata grazie alle agenzie di sicurezza informatica e a Google, ma in questi giorni una nuova versione è stata individuata in un’app presente sul Google Play Store. Numerosi i download dell’app infetta, i quali fanno temere per la sicurezza di molti utenti. Vediamo insieme cos’è Teabot, come fa a installarsi sul nostro dispositivo e cosa fare per difendersi.

Trojan: cosa sono

Prima di parlare di Teabot, cerchiamo di capire cos’è un trojan. Il termine si riferisce a un software in apparenza sicuro, il quale però, una volta installato, permette agli hacker di spiare il dispositivo infetto e di compiere determinate azioni.
Il primissimo trojan, risalente al 1975, si infiltrava nei computer quando gli utenti installavano un gioco chiamato animal-pervade e si autoreplicava, generando copie di backup di se stesso.

Se il primo trojan non creava danni, i successivi non furono altrettanto innocui, tanto da diventare tra i malware più insidiosi soprattutto a causa della difficoltà di distinguere un software malevolo da uno sicuro.
Proprio per la facilità con cui si riesce a convincere gli utenti a scaricarli e installarli sui propri dispositivi, i trojan sono diventati i malware più diffusi e utilizzati dai pirati informatici.

Cos’è Teabot

Teabot è un malware rientrante nella categoria dei trojan bancari, ossia dei software dannosi progettati per spiare gli utenti e rubare i dati bancari. Distribuito in molti Paesi europei, riesce ad hackerare i dati delle principali banche di tutta Europa, Italia compresa.

Scoperto per la prima volta nel 2021, Teabot viene scaricato inconsapevolmente dal Google Play Store, dunque infetta i dispositivi Android.
La nuova versione del trojan, scoperta nel mese di febbraio, si nasconde in un’app pensata per la lettura dei QR Code e dei Barcode, denominata proprio “QR Code e Barcode Scanner”. L’app assolve effettivamente al suo compito, ma una volta installata richiede un aggiornamento che punta a un canale esterno al Google Play Store, fatto insolito per le app scaricate dallo store di Google.
Ad oggi l’applicazione incriminata avrebbe ottenuto già più di 10.000 download, dunque la sua diffusione è elevata.

In cosa differisce la nuova versione del trojan e come funziona

Pericoloso ed efficace già nella sua prima versione, Teabot lo è oggi ancora di più. Sembra infatti che il software sia più intelligente e sofisticato, e che abbia esteso notevolmente i servizi bancari oggetto della truffa e le lingue in cui i messaggi vengono inviati.

Dopo essersi insediato nel dispositivo, il virus invia degli SMS che imitano alla perfezione quelli inoltrati dalle principali banche europee. Una volta aperto l’SMS, l’utente trova un link che, se cliccato, apre una pagina contenente un form. Compilando il form e inviando i dati, l’utente fornisce al pirata informatico tutte le informazioni necessarie per accedere al suo conto o per utilizzare le sue carte.
L’installazione è naturalmente accidentale, in quanto l’utente non è a conoscenza del fatto che l’app che intende installare è in realtà un malware.

Come fa ad installarsi sul dispositivo

Il trojan non si installa dopo il semplice download. L’app “QR Code e Barcode Scanner” richiede infatti, subito dopo l’installazione, di scaricare degli aggiornamenti che però non fanno capo al Google Play Store. Il download degli aggiornamenti arrivava da GitHub e, in particolare, da due repository nei quali si trovavano diverse versioni del trojan.

Se, dopo l’installazione dell’app, l’utente accetta di scaricare gli aggiornamenti da fonte esterna, si ritrova senza saperlo con il device infettato.
Una volta installato, Teabot richiede di poter accedere ad alcune funzioni di Android e, in particolare, di poter visualizzare il monitor dello smartphone o del tablet, fare screenshot ed eseguire funzioni in automatico senza dover ogni volta ottenere il consenso dell’utente.
Concedendo al software il diritto di accedere a tali funzioni, si dà avvio alle attività di hackeraggio dei dati.

Come difendersi da Teabot

Evitare di cadere in questo genere di truffe è di estrema importanza in quanto si rischia di ritrovarsi da un giorno all’altro con il conto prosciugato.
Teabot, come abbiamo visto, è un trojan subdolo, come tutti i malware di questo genere, in quanto l’utente lo installa involontariamente, convinto di stare installando un software per la lettura dei QR Code. Come fare per non cadere in questo genere di tranelli?

  1. Per prima cosa, è fondamentale effettuare il download di app esclusivamente da fonti e siti certificati, come Google Play Store e App Store. Non solo il download, ma anche gli aggiornamenti successivi devono sempre fare capo a fonti attendibili. Se non si è certi dell’origine di un download o di un aggiornamento, meglio non installare nulla e orientarsi su un’altra app.
  2. In secondo luogo, verificare sempre a quali funzioni può accedere l’applicazione installata e, ancora un volta, in caso di incertezza è preferibile non dare autorizzazioni e disinstallare l’app.
  3. Per finire, non compilate mai form i cui link vi vengono inviati tramite SMS o email, soprattutto se richiedono l’inserimento di dati sensibili. Nel caso in cui doveste ricevere messaggi di questo genere, contattate la vostra banca e chiedete informazioni al riguardo.

Conclusioni

In questo articolo abbiamo scoperto cos’è Teabot e cosa fare per non cadere nel tranello dei trojan bancari.
Questo genere di malware sfrutta l’inesperienza e la buona fede degli utenti di internet per rubare dati sensibili. I dati sensibili vengono poi usati per rubare il denaro dei malcapitati, creando non pochi danni a livello economico.

Prima di installare una nuova app o degli aggiornamenti, verificate da quali fonti provengono e, in caso di incertezza, cercate una soluzione alternativa.

Scopri se sei preparato ad affrontare un malware, fai il nostro QUIZ!

Parliamo!

I nostri questionari

Corso anti ransomware

Articoli correlati

Venus Ransomware

Dic 18, 2022

Quando è stato scoperto il ransomware Venus? Venus ransomware, noto anche come Goodgame, ha attirato l'attenzione dall'agosto 2022 ma i relativi campioni sono noti almeno dalla metà del 2021. Ci sono sufficienti marcatori e altri metadati presenti nei campioni di...

Disaster recovery: cos’è e come funziona

Disaster recovery: cos’è e come funziona

Gen 27, 2023

ll Disaster Recovery (DR) è una strategia di business continuity che consente alle aziende di ripristinare i sistemi informatici e le applicazioni in caso di interruzione dovuta a eventi catastrofici, come disastri naturali, attacchi informatici o guasti tecnici. Il...

Zero Trust: cos’è e come migliora la sicurezza informatica

Zero Trust: cos’è e come migliora la sicurezza informatica

Gen 22, 2023

Cosa si intende per zero trust? Cosa significa approccio zero trust? Il termine "zero trust" si riferisce al modello di sicurezza che non ha fiducia nell'autenticità degli utenti, dei dispositivi o delle reti, fino a quando non sono stati verificati. Nessuno può...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!

Iscriviti!