Expertos advierten de un nuevo troyano bancario para Android que roba las credenciales de los usuarios

Investigadores de ciberseguridad revelaron el lunes un nuevo troyano de Android que secuestra las credenciales y los mensajes SMS de los usuarios para facilitar actividades fraudulentas contra bancos en España, Alemania, Italia, Bélgica y los Países Bajos.

Llamado «TeaBot» (o Anatsa), se dice que el malware se encuentra en sus primeras etapas de desarrollo, con ataques maliciosos dirigidos a aplicaciones financieras que comenzaron a fines de marzo de 2021, seguidos de una serie de infecciones en la primera semana de mayo contra Bélgica y Países Bajos. bancos. Los primeros signos de actividad de TeaBot surgieron en enero.

«El objetivo principal de TeaBot es robar las credenciales de la víctima y los mensajes SMS para habilitar escenarios de fraude contra una lista predefinida de bancos», dijo la firma italiana de ciberseguridad y prevención de fraude en línea Cleafy en un artículo publicado el lunes. «Una vez que TeaBot se instala con éxito en el dispositivo de la víctima, los atacantes pueden obtener una transmisión en vivo de la pantalla del dispositivo (bajo demanda) y también interactuar con ella a través de los Servicios de Accesibilidad».

La aplicación maliciosa de Android, que se hace pasar por servicios de entrega de paquetes y medios como TeaTV, VLC Media Player, DHL y UPS, actúa como un cuentagotas que no solo carga una carga útil de segunda etapa, sino que también obliga a la víctima a otorgarle permisos de servicio de accesibilidad.

En el último eslabón de la cadena de ataque, TeaBot explota el acceso para lograr una interacción en tiempo real con el dispositivo comprometido, lo que permite al adversario registrar las pulsaciones de teclas, además de tomar capturas de pantalla e inyectar superposiciones maliciosas en la parte superior de las pantallas de inicio de sesión de las aplicaciones bancarias para robar. credenciales e información de tarjetas de crédito.

Otras capacidades de TeaBot incluyen deshabilitar Google Play Protect, interceptar mensajes SMS y acceder a los códigos 2FA de Google Authenticator. Luego, la información recopilada se extrae cada 10 segundos a un servidor remoto controlado por el atacante.

El malware de Android que abusa de los servicios de accesibilidad como trampolín para perpetrar el robo de datos ha experimentado un aumento en los últimos meses. Desde principios de año, al menos tres familias diferentes de malware (Oscorp, BRATA y FluBot) han apostado por esta función para obtener el control total de los dispositivos infectados.

Curiosamente, el hecho de que TeaBot emplee el mismo señuelo que el de Flubot haciéndose pasar por aplicaciones de envío inocuas podría ser un intento de engañar a la atribución y pasar desapercibido. El aumento de las infecciones de FluBot hizo que Alemania y el Reino Unido emitieran alertas el mes pasado advirtiendo sobre ataques en curso a través de mensajes SMS fraudulentos que engañan a los usuarios para que instalen «spyware que roba contraseñas y otros datos confidenciales».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática