TeaBot: un troyano que está robando los datos bancarios de muchos españoles
Más de 60 bancos afectados en toda Europa.
Casi semanalmente os contamos un nuevo caso en el que millones de móviles se ven afectados por un nuevo troyano. Cada uno de ellos tiene su forma de actuar, y en este caso se trata de un malware que toma la forma de una aplicación de actualización del sistema para robar datos, imágenes, mensajes y usurpar el control de todos los teléfonos Android. Pues bien, vamos a conocer cómo funciona este nuevo malware que afecta a móviles Android, y que ha infectado ya a un gran número de smartphones.
Unos investigadores han descubierto un troyano para Android que puede robar los mensajes SMS y las credenciales de las víctimas y apoderarse completamente de los dispositivos. El troyano, apodado TeaBot, tiene como objetivo cometer fraudes contra al menos 60 bancos en Europa.
Cuido un troyano está robando los datos bancarios de muchos españoles
Una vez instalado en el dispositivo de la víctima, los atacantes pueden utilizar el troyano para obtener una transmisión en directo de la pantalla del dispositivo bajo demanda y también interactuar con él a través de los servicios de accesibilidad, según un informe publicado en línea por la empresa de gestión de fraudes Cleafy sobre el troyano, que también se rastrea con el nombre de "Anatsa".
#FluBot es un #troyano para #Android distribuido mediante campañas de #SMS fraudulentos que ha tenido un gran impacto en España. Si quieres conocer al detalle su comportamiento a nivel técnico, hemos preparado el siguiente estudio.https://t.co/xkEaq4cXx1
— INCIBE-CERT (@incibe_cert) May 7, 2021
Los investigadores del equipo de Inteligencia de Amenazas y Respuesta a Incidentes (TIR) de Cleafy detectaron TeaBot por primera vez el 29 de marzo contra bancos en Italia. Sin embargo, al profundizar en la muestra que examinaron, los investigadores encontraron pruebas de que TeaBot se dirigió a bancos en España ya en enero y también a bancos alemanes en marzo, dijeron. En total, los investigadores han extraído escenarios contra una lista predefinida de más de 60 bancos por toda Europa.
Al igual que otros troyanos de Android que utilizan los Servicios de Accesibilidad para hacer su trabajo sucio, el troyano también puede abusar de esta característica para realizar una serie de funciones en el dispositivo de alguien. Estas capacidades incluyen la realización de ataques de superposición contra múltiples aplicaciones bancarias para robar credenciales de inicio de sesión e información de tarjetas de crédito, algo que comparte con troyanos bancarios modernos como Anubis y Cerberus/Alien, dijeron los investigadores.
Además, el troyano también puede enviar, interceptar u ocultar mensajes SMS; habilitar funcionalidades de registro de claves; robar códigos de autenticación de Google; y utilizar los servicios de accesibilidad y el uso compartido de la pantalla en tiempo real para obtener el control remoto total de un dispositivo Android.
Aunque este comportamiento es similar al de otro troyano bancario de Android, este se comporta de forma diferente, ya que sólo rastrea las aplicaciones seleccionadas, no todas las aplicaciones. Esto significa que se genera menos tráfico entre el banquero y el servidor de mando y control, llamando menos la atención sobre la actividad nefasta.
