Software malicioso Teabot

El malware Teabot es una nueva amenaza troyana de Android que se está implementando en ataques de phishing dirigidos a usuarios en toda Europa. La función principal de la cepa de malware es recopilar credenciales e interceptar el mensajero SMS para cometer operaciones de fraude financiero contra una multitud de bancos europeos. "Una vez establecido en el dispositivo comprometido, el malware Teabot puede proporcionar al actor de la amenaza una transmisión en vivo de la pantalla de ese dispositivo, al mismo tiempo que abusa de los Servicios de accesibilidad para realizar otras actividades maliciosas".

La primera acción del malware es intentar instalarse como un 'Servicio de Android', una designación para los componentes de la aplicación que pueden realizar operaciones de larga duración en el fondo del dispositivo. Al explotar esta función, Teabot puede ocultar su presencia al usuario, hacer que su detección sea mucho más difícil y garantizar su persistencia en el dispositivo vulnerado. Al solicitar varios permisos de Android, el malware puede comenzar a observar las acciones del usuario y realizar gestos arbitrarios, al tiempo que recupera contenido sensible de la ventana.

Teabot está en desarrollo activo

Durante el tiempo que los investigadores estuvieron observando la operación Teabot, vieron una expansión drástica en los objetivos del malware. Inicialmente, la campaña de amenazas se centró únicamente en los bancos españoles, pero pronto creció hasta afectar también a los bancos de Alemania e Italia. Las últimas versiones de Teabot podrían utilizarse en actividades fraudulentas contra más de 60 bancos europeos ubicados en España, Alemania, Italia, Bélgica y los Países Bajos. El malware admite 6 idiomas diferentes: español, inglés, alemán, francés, holandés e italiano.

Al mismo tiempo, la aplicación amenazante que lleva la amenaza ha cambiado rápidamente entre múltiples disfraces diferentes. Inicialmente se presentó como una aplicación llamada TeaTV. Luego, el actor de la amenaza probó varios nombres diferentes, algunos haciéndose pasar por aplicaciones legítimas y populares como 'VLC MediaPlayer', 'Mobdro', 'UPS', 'DHL' y 'bpost'.