Non è passato molto tempo da quando sono stati allertati in merio al malware Xenomorph che gli utenti Android sono nuovamente finiti nell’occhio del ciclone, quanto ad attacchi hacker, a causa della ripropagazione del virus TeaBot, ora arricchitosi di nuove capacità operative.
Dopo gli avvistamenti a inizio dello scorso anno, il trojan ad accesso remoto (R.A.T) TeaBot era ricomparso lo scorso Maggio, all’interno di app molto note, come il VLC Media Player, prendendo di mira soprattutto istituti bancari europei: concluso il “praticantato”, secondo gli esperti di Cleafy Labs (che ne avevano rendicontato anche l’ultima volta), il virus in oggetto si è espanso agli antipodi, andando a colpire anche gli USA, l’Australia, la nuova Zelanda e i paesi dell’ex Unione Sovietica (e limitrofi) visto che, di pari passo con l’espansione geografia, è arrivata anche quella linguistica, con il supporto a idiomi come lo slovacco, il russo e il cinese.
Altri elementi di differenziazione della nuova versione di TeaBot, rispetto a quella precedente, riguardano un migliorato e più forte meccanismo di offuscamento del codice, e il fatto che, rispetto a prima, abbia incrementato del 500% il suo target di obiettivi (passando da 60 a 400), che ora comprendono non solo app bancarie, ma anche quella degli exchange e dei portafogli di criptovalute, senza contare quelle assicurative.
Il modus operandi di TeaBot prevede che venga scaricata un’app (ormai rimossa in seguito alla segnalazione a Google) dal Play Store, QR Code & Barcode – Scanner, scaricata da oltre 10mila persone che, al primo avvio, tramite pop-up, richiedeva di scaricare (da due repository su GitHub intestate all’utente feleanicusor) e installare un add-on aggiuntivo (QR Code Scanner: Add-On), in realtà il virus TeaBot, che poi – chiesto e ottenuta l’autorizzazione a usare i servizi di accessibilità – diventava invisibile (mentre l’app principale funzionava regolarmente meritandosi pure buone reviews), e metteva in pratica le sue azioni.
Nello specifico, TeaBot monitorava le azioni dell’utente (es. via keylogger per annotare quanto digitato) ed eseguiva delle azioni per conto suo (es. in background, senza chiedere niente all’utente, concedeva in background delle autorizzazioni aggiuntive), riuscendo anche a controllare quanto appariva a schermo, per catturare i codici dell’autenticazione a 2 fattori, leggere gli SMS di convalida, o acquisire le credenziali di accesso, poi inviati agli hacker.
Ormai rimossa l’app untrice dal Play Store, rimangono validi i consigli degli esperti per cautelarsi da attacchi simili a quelli di TeaBot, che prevedono la scansione in tempo reale di quel che si scarica, anche da fonti accertate come il Play Store, l’installare solo app di cui si abbia realmente bisogno e, almeno per i primi due giorni dall’installazione, per scoprire eventuali schemi sospetti, tenere sotto controllo il consumo d’energia della batteria e il volume del traffico di rete.