I ricercatori di Prodaft hanno rivelato che il malware TeaBot (noto anche come Toddler o Anatsa) sta prendendo di mira sempre più paesi in Europa, tra cui Regno Unito, Francia, Belgio, Australia, Germania, Svizzera e Paesi Bassi.
Nuova serie di attacchi
Secondo il team di Prodaft Threat Intelligence, il malware è ancora in fase di sviluppo; tuttavia, finora ha preso di mira più di 7.000 dispositivi.
- Il trojan mobile ha preso di mira i clienti di 60 banche europee, tentando di rubare le loro credenziali bancarie. Ha preso di mira app mobili per organizzazioni finanziarie, tra cui Belfius, BEO Bank e FinecoBank, tra le altre.
- Sebbene il trojan non sia stato trovato su Google Play, i ricercatori hanno identificato diversi siti Web legittimi che sono stati compromessi per ospitare e distribuire il malware.
- Dopo l’infezione, il malware scarica le pagine di accesso false dal suo C2, che sono simili all’app utilizzata dalla vittima. Questi sono sovrapposti alla parte superiore dello schermo della vittima che mostra l’applicazione bancaria.
- Inoltre, il malware può rubare dati (inclusi i dettagli del portafoglio di criptovaluta), acquisire schermate, intercettare codici 2FA e SMS e condurre keylogging.
Tipologia degli attacchi Teabot
Negli ultimi mesi, diverse agenzie di ricerca hanno individuato campagne attive da parte degli operatori TeaBot, rivolte a diverse banche nei paesi europei.
- Il mese scorso, è stato scoperto che TeaBot si mascherava da app bancaria, prendendo di mira i clienti di diverse banche, tra cui BBVA Spagna, BBVA Messico, Openbank, Santander bank e Liberbank.
- Nello stesso periodo, è stato osservato che il malware imitava Kaspersky Internet Security for Android, cercando quindi di ottenere autorizzazioni di accesso con privilegi elevati come i servizi di accessibilità sul dispositivo della vittima.
Conclusioni
Gli operatori di malware TeaBot sono abili nel travestirsi da applicazioni bancarie e altre app popolari. Inoltre, l’inclusione di diversi trucchi sofisticati come prendere di mira i portafogli crittografici e abusare dei servizi di accessibilità lo rende una minaccia pericolosa.