A maggio dello scorso anno, il trojan bancario TeaBot ha dato non poche preoccupazioni agli utenti, compresi quelli italiani, insediandosi nei loro dispositivi e accedendo a conti bancari e carte. Grazie all’azione di Google e delle agenzie di cybersecurity, si pensava poi che il virus fosse scomparso, ma un recente report diffuso da Cleafy dimostra che le cose non stanno assolutamente in questo modo e che anzi TeaBot è più vivo e vegeto che mai.
TeaBot è diventato ancora più intelligente
Stando a quanto riferito, il trojan sarebbe diventato ancora più intelligente, colpendo gli utenti in maniera più subdola e ampliando la rosa dei possibili servizi bancari che i suoi SMS tentano di imitare. Al momento, infatti, si stima che TeaBot colpisca 400 app finanziarie diverse. Inoltre, la portata del trojan è stata aumentata con il supporto ad altre lingue, tra cui il russo, lo slovacco e il mandarino.
Trattandosi di un Remote Access Trojan (RAT), TeaBot agisce insediandosi sul telefono della persona colpita, invia ad essa dei link malevoli spacciandosi per un servizio bancario effettivamente impiegato dall’utente e convince quest’ultimo ad immettere i propri dati personali in pagine che poi li rubano e li usando per accedere al suo conto corrente online e alle sue carte di credito.
L’installazione del trojan avviene accidentalmente mediante le app presenti sul Play Store. L’ultima ad essere stata scoperta è QR Code & Barcode – Scanner, uno scanner di codici QR e di barcode già rimosso dallo store che contava la bellezza di oltre 10.000 download. Una volta installata, l’app andava a richiedere con un popup l’installazione di un add-on e reindirizzava l’utente ad un sito Web esterno al Play Store di Google dal quale veniva effettuato il sideloading di TeaBot sul dispositio.