Android, attenti al malware TeaBot che spia lo schermo e ruba dati bancari

Il mondo degli smartphone Android ha subito un nuovo scossone: nelle ultime ore è stato scoperto un trojan Android in grado di accedere a SMS, credenziali delle vittime e schermo del dispositivo assumendone quasi il controllo intero. Si chiama TeaBot ed è a caccia soprattutto di dati bancari dell’utenza europea.

Secondo quanto riportato dai ricercatori della divisione Threat Intelligence and Incident Response (TIR) del team italiano di Cleafy, TeaBot sarebbe in operazione da marzo 2021 in particolare in Italia e in Germania, sebbene in queste prime settimane di maggio 2021 sia giunto anche in Belgio e Olanda e, in realtà, a inizio anno avrebbe esordito in Spagna.

Scendendo nel dettaglio, TeaBot giungerebbe con versioni false di applicazioni particolarmente famose tra cui VLC MediaPlayer e società come DHL e UPS. Si ritiene, dunque, che la diffusione sia avvenuta in maniera estremamente simile a Oscorp, altro famoso virus diffusosi in Italia a gennaio, ovvero con pagine web false di servizi con una certa fama.

Una volta installato sul dispositivo di una vittima, il trojan TeaBot permetterebbe agli aggressori di ottenere su richiesta un feed video continuo dello schermo del dispositivo. Inoltre, non mancherebbero numerosi permessi di sistema che permettono di aggirare l’autenticazione biometrica, di scoprire l’indirizzo IP a cui si è connessi, scorrere sullo schermo, accedere a Google Authenticator, cambiare password e persino cancellarsi autonomamente per evitare di essere scoperto.

Gli esperti di Cleafy hanno spiegato che “La crittografia parziale della rete e la presenza di alcune iniezioni e comandi non funzionanti (o in alcuni casi la mancanza di iniezioni per specifiche banche mirate) suggerisce che TeaBot sia ancora in fase di sviluppo”. Interessante è il fatto che TeaBot si comporta in modo diverso rispetto ad altri trojan bancari per smartphone Android, tenendo traccia solo di alcune app mirate anziché di tutte le applicazioni presenti nel dispositivo. Così facendo, il virus genera meno traffico e richiama meno l’attenzione dell’utente e dei servizi bancari.

Ma come si può evitare questo virus? È sufficiente prestare molta attenzione alle applicazioni che si installano al di fuori del Google Play Store, se possibile evitando del tutto di farlo. Se dovesse accadere, invece, bisogna osservare quali permessi richiede l’applicazione in questione: se, come dagli screenshot in calce all’articolo, l’app dovesse chiedere autorizzazioni che fanno storcere il naso allora è doveroso interrompere la sua installazione.

Altro malware scoperto di recente è Etinu, contenuto in altre applicazioni presenti addirittura all’interno del Play Store.