Nascosto in app all’apparenza non pericolose, il malware Teabot aveva creato già nel 2021 non pochi problemi, insediandosi nei dispositivi dei malcapitati e rubandone le credenziali di accesso a numerose banche, tra cui Intesa San Paolo, Banca Nazionale del Lavoro e Unicredit.
Attivo in numerosi Stati europei, Italia compresa, la prima versione del trojan Teabot era stata bloccata grazie alle agenzie di sicurezza informatica e a Google, ma gli attacchi del marzo 2022 hanno rivelato una nuova versione del Teabot in un’app presente sul Google Play Store. Numerosi i download dell’app infetta, i quali fanno temere per la sicurezza di molti utenti.
Vediamo insieme cos’è Teabot, come fa a installarsi su un dispositivo dispositivo e cosa fare per difendersi.
Trojan: cosa sono
Prima di parlare di del trojan Teabot, cerchiamo di capire cos’è un trojan. Il termine si riferisce a un software in apparenza sicuro, il quale però, una volta installato, permette agli hacker di spiare il dispositivo infetto e di compiere determinate azioni.
Il primissimo trojan, risalente al 1975, si infiltrava nei computer quando gli utenti installavano un gioco chiamato animal-pervade e si autoreplicava, generando copie di backup di se stesso.
Se il primo trojan non creava danni, i successivi non furono altrettanto innocui, tanto da diventare tra i malware più insidiosi soprattutto a causa della difficoltà di distinguere un software malevolo da uno sicuro.
Proprio per la facilità con cui si riesce a convincere gli utenti a scaricarli e installarli sui propri dispositivi, i trojan sono diventati i malware più diffusi e utilizzati dai pirati informatici.
Cos’è Teabot
Teabot è un banking trojan, ossia un malware progettato per spiare gli utenti e rubare i dati bancari. Distribuito in molti Paesi europei, riesce ad hackerare i dati delle principali banche di tutta Europa, Italia compresa.
Scoperto per la prima volta nel 2021, Teabot viene scaricato inconsapevolmente dal Google Play Store, dunque infetta i dispositivi Android.
La nuova versione del trojan, scoperta nel mese di febbraio 2022, si nasconde in un’app pensata per la lettura dei QR Code e dei Barcode, denominata proprio “QR Code e Barcode Scanner”. L’app assolve effettivamente al suo compito, ma una volta installata richiede un aggiornamento che punta a un canale esterno al Google Play Store, fatto insolito per le app scaricate dallo store di Google.
Ad oggi l’applicazione incriminata avrebbe ottenuto già più di 10.000 download, dunque la sua diffusione è elevata.
Caratteristiche e funzionamento della nuova versione Teabot
Pericoloso ed efficace già nella sua prima versione, Teabot lo è oggi ancora di più. Sembra infatti che il software sia più intelligente e sofisticato, e che abbia esteso notevolmente i servizi bancari oggetto della truffa e le lingue in cui i messaggi vengono inviati.
Dopo essersi insediato nel dispositivo, il virus invia degli SMS che imitano alla perfezione quelli inoltrati dalle principali banche europee. Una volta aperto l’SMS, l’utente trova un link che, se cliccato, apre una pagina contenente un form. Compilando il form e inviando i dati, l’utente fornisce al pirata informatico tutte le informazioni necessarie per accedere al suo conto o per utilizzare le sue carte.
L’installazione è naturalmente accidentale, in quanto l’utente non è a conoscenza del fatto che l’app che intende installare è in realtà un malware.
Come fa ad installarsi sul dispositivo
Il trojan Teabot non si installa dopo il semplice download. L’app “QR Code e Barcode Scanner” richiede infatti, subito dopo l’installazione, di scaricare degli aggiornamenti che però non fanno capo al Google Play Store. Il download degli aggiornamenti arrivava da GitHub e, in particolare, da due repository nei quali si trovavano diverse versioni del trojan.
Il malware TeaBot possiede diverse funzionalità che sfruttano i servizi di accessibilità di Android, caratteristiche condivise anche da altri noti trojan per dispositivi mobili.
- Controllo remoto dei dispositivi bersaglio.
- Furto di codici 2FA (autenticazione a due fattori).
- Invio e intercettazione di messaggi SMS.
- Esfiltrazione di dati bancari.
- Disabilitazione di Google Protect.
In particolare, tra le caratteristiche principali rilevate durante l’analisi dei campioni, i ricercatori hanno identificato funzionalità come:
- Keylogger (simili a quelli già osservati nel trojan bancario EventBot, sebbene traccino solo la presenza di alcune app specifiche, generando quindi meno traffico nella comunicazione C2).
- Screenshot (per acquisire immagini al fine di monitorare costantemente lo schermo del dispositivo compromesso).
- Overlay (tecnica già nota e implementata nei trojan Android Anubis, Cerberus e Alien, che consiste nell’imitare un’app o sovrapporre un WebView a un’applicazione legittima).
Segue un elenco di alcuni comandi Teabot identificati durante l’analisi tecnica condotta dal TIR di Cleafy (azienda di sicurezza informatica che ha scoperto il trojan Teabot per la prima volta):
- ask_syspass: visualizza un popup di autorizzazione biometrica.
- ask_perms: richiede i permessi agli utenti.
- change_pass: mostra un messaggio di avviso che invita l’utente a aggiornare la password.
- get_accounts: ottiene gli account dalle impostazioni di Android.
- kill_bot: rimuove se stesso.
- mute_phone: consente di disattivare l’audio del dispositivo.
- open_inject: esegue l’attacco overlay, avviando l’iniezione.
- start_client: definisce un indirizzo IP e un numero di porta per osservare il dispositivo compromesso tramite screenshot.
- swipe_down: simula gesti di scorrimento sullo schermo.
- grab_google_auth: apre e ottiene i codici nell’app Google Auth.
- activ_screen: abilita il controllo dello schermo del dispositivo.
Se, dopo l’installazione dell’app, l’utente accetta di scaricare gli aggiornamenti da fonte esterna, si ritrova senza saperlo con il device infettato. Concedendo al software il diritto di accedere a tali funzioni, si dà avvio alle attività di hackeraggio dei dati.
Come si nasconde Teabot
Per complicare il reverse engineering, gli sviluppatori di TeaBot hanno adottato tecniche di anti-analisi già impiegate in altri malware simili. Queste strategie includono l’utilizzo di “codice spazzatura”, la crittografia XOR (anche se parziale) e una catena di infezione suddivisa in due fasi, in cui l’app principale funge da dropper carico dinamicamente nella seconda fase il payload effettivo (.dex).
In aggiunta, una volta che l’app malevola viene scaricata sul dispositivo (i ricercatori indicano che è stata distribuita nel tempo con diversi nomi come TeaTV, VLC MediaPlayer, Mobdro, DHL, UPS, bpost, seguendo modalità simili alle recenti campagne Flubot), TeaBot cerca di mimetizzarsi per sfuggire agli occhi dell’utente. Garantisce la persistenza installandosi come servizio in background e stabilisce una comunicazione silenziosa con il server di comando e controllo C2 (185.215.113 [.] 31, kopozkapalo [.] xyz, sepoloskotop [.] xyz, 178.32.130 [.] 170) sin dall’inizio.
Successivamente, per eseguire le operazioni dannose programmante, TeaBot richiede specifiche autorizzazioni Android al fine di intercettare e monitorare le azioni dell’utente, recuperare informazioni sensibili ed eseguire comandi arbitrari, come ad esempio visualizzare il popup di autorizzazione “REQUEST_IGNORE_BATTERY_OPTIMIZATIONS”.
Solo dopo l’installazione completata con successo, il malware procede a rimuovere la propria icona dal dispositivo, con l’intento di diminuire le possibilità di essere individuato dall’utente.
Come difendersi da Teabot
Evitare di cadere in questo genere di truffe è di estrema importanza in quanto si rischia di ritrovarsi da un giorno all’altro con il conto prosciugato.
Teabot, come abbiamo visto, è un trojan subdolo, come tutti i malware di questo genere, in quanto l’utente lo installa involontariamente, convinto di stare installando un software per la lettura dei QR Code. Come fare per non cadere in questo genere di tranelli?
- Per prima cosa, è fondamentale effettuare il download di app esclusivamente da fonti e siti certificati, come Google Play Store e App Store. Non solo il download, ma anche gli aggiornamenti successivi devono sempre fare capo a fonti attendibili. Se non si è certi dell’origine di un download o di un aggiornamento, meglio non installare nulla e orientarsi su un’altra app.
- Controllare sempre le opinioni degli utenti prima di scaricare una nuova app.
- Prestare la massima attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie per il corretto funzionamento.
- Verificare sempre a quali funzioni può accedere l’applicazione installata e, ancora un volta, in caso di incertezza è preferibile non dare autorizzazioni e disinstallare l’app.
- Non compilare mai form i cui link vi vengono inviati tramite SMS o email, soprattutto se richiedono l’inserimento di dati sensibili. Nel caso in cui doveste ricevere messaggi di questo genere, contattate la vostra banca e chiedete informazioni al riguardo.
Conclusioni
In questo articolo abbiamo scoperto cos’è il malware Teabot e cosa fare per non cadere nel tranello dei trojan bancari.
Questo genere di malware sfrutta l’inesperienza e la buona fede degli utenti di internet per rubare dati sensibili. I dati sensibili vengono poi usati per rubare il denaro dei malcapitati, creando non pochi danni a livello economico.
Prima di installare una nuova app o degli aggiornamenti, verificate da quali fonti provengono e, in caso di incertezza, cercate una soluzione alternativa.
Scopri se sei preparato ad affrontare un malware, fai il nostro QUIZ!
