TeaBot, el nuevo malware que roba bancos europeos por medio de tu móvil
Descubren un troyano bancario que ha atacado a más de 60 entidades a través de los datos de usuarios.
John Dillinger, uno de los gángsters más conocidos de Estados Unidos, era una verdadera ‘autoridad’ en el robo de bancos. Pero hoy día no hace falta entrar gritando con una Tommy Gun en las manos y encañonando a los trabajadores de una sucursal, porque gracias a la digitalización de los procesos bancarios, la tecnología puede hacer todo esto de forma más sutil.
Y de hecho es lo que está haciendo un nuevo malware que, además, convierte en secuaces a quienes infecta primero.
TeaBot Malware
A principios de enero de 2021 apareció en escena un nuevo ‘banker’ (malware enfocado en robar credenciales bancarias) de Android que fue descubierto y analizado por el equipo de Inteligencia de Amenazas y Respuesta a Incidentes (TIR), de la compañía experta en ciberseguridad Cleafy. Bautizado como ‘TeaBot’, este troyano bancario parecía “tener todas las características principales de los banqueros de Android actuales que se consiguen abusando de los servicios de accesibilidad”, como son
- Capacidad de realizar ataques de superposición contra aplicaciones de múltiples bancos para robar credenciales de acceso e información de tarjetas de crédito
- Capacidad de enviar / interceptar / ocultar mensajes SMS
- Habilitación de funcionalidades de registro de claves
- Capacidad para robar los códigos de autenticación de Google
- Capacidad de obtener el control remoto total de un dispositivo Android (a través de los servicios de accesibilidad y de la pantalla compartida en tiempo real)
Gracias a un análisis en profundidad de una nueva oleada de muestras detectadas el 29 de marzo de 2021, Cleafy encontró pruebas de que TeaBot había empezado su carrera criminal atacando a entidades bancarias de Italia.
Además, aunque TeaBot parece estar “en sus primeras etapas de desarrollo según algunas irregularidades encontradas durante nuestro análisis”, se descubrió que los desarrolladores ya han incluido soporte multilingüe según algunas referencias textuales encontradas en 6 idiomas distintos -español, inglés, italiano, alemán, francés y holandés-, lo que significa una cosa: TeaBot se preparaba para atacar bancos por el resto de Europa.
Más de 60 bancos europeos atacados
El resultado de esto fue que entidades bancarias de Bélgica y Países Bajos también se han visto afectadas por el nuevo malware, siendo un total de más de 60 bancos atacados en total. La clave de todo es que TeaBot no puede atacar esos bancos sin un ‘socio’, que en este caso es cualquiera que tenga su móvil infectado.
Si este malware te hackea el móvil, lo siguiente que hace es buscar los datos bancarios que lleves -numeraciones de cuentas, contraseñas, tarjetas de crédito escaneadas. Y una vez los tiene, los usa como ‘arma’ para atacar a la entidad bancaria a la que pertenezcan. Y todo desde tu móvil sin que te des cuenta.
Los principales permisos conseguidos por TeaBot le permiten
- Enviar / Interceptar mensajes SMS
- Leer la agenda telefónica y el estado del teléfono
- Utilizar las modalidades biométricas soportadas por el dispositivo
- Modificar los ajustes de audio (por ejemplo, para silenciar el dispositivo)
- Mostrar una ventana emergente encima de todas las demás aplicaciones (se utiliza durante la fase de instalación para obligar al usuario a aceptar los permisos del servicio de accesibilidad)
- Eliminar una aplicación instalada
- Abusar del servicio de accesibilidad de Android
España, campo de pruebas
Aunque han sido los bancos de Italia, Bélgica y Países Bajos los atacados y afectados, lo cierto es que Cleafy descubrió que en enero pasado, TeaBot se había centrado en atacar bancos españoles. Y en marzo, el rastro del malware apareció en bancos alemanes a la par que italianos.
Según el post oficial de Cleafy, en el que realiza un análisis muy técnico de cómo opera TeaBot, el malware está en sus primeros estadios. La duda no es si atacará más entidades bancarias en EU, sino cuándo, y cuándo llegará a España.