TeaBot, el nuevo malware que roba bancos europeos por medio de tu m¨®vil

John Dillinger, uno de los g¨¢ngsters m¨¢s conocidos de Estados Unidos, era una verdadera ¡®autoridad¡¯ en el robo de bancos. Pero hoy d¨ªa no hace falta entrar gritando con una Tommy Gun en las manos y enca?onando a los trabajadores de una sucursal, porque gracias a la digitalizaci¨®n de los procesos bancarios, la tecnolog¨ªa puede hacer todo esto de forma m¨¢s sutil.

Y de hecho es lo que est¨¢ haciendo un nuevo malware que, adem¨¢s, convierte en secuaces a quienes infecta primero.

TeaBot Malware

A principios de enero de 2021 apareci¨® en escena un nuevo ¡®banker¡¯ (malware enfocado en robar credenciales bancarias) de Android que fue descubierto y analizado por el equipo de Inteligencia de Amenazas y Respuesta a Incidentes (TIR), de la compa?¨ªa experta en ciberseguridad Cleafy. Bautizado como ¡®TeaBot¡¯, este troyano bancario parec¨ªa ¡°tener todas las caracter¨ªsticas principales de los banqueros de Android actuales que se consiguen abusando de los servicios de accesibilidad¡±, como son

- Capacidad de realizar ataques de superposici¨®n contra aplicaciones de m¨²ltiples bancos para robar credenciales de acceso e informaci¨®n de tarjetas de cr¨¦dito

- Capacidad de enviar / interceptar / ocultar mensajes SMS

- Habilitaci¨®n de funcionalidades de registro de claves

- Capacidad para robar los c¨®digos de autenticaci¨®n de Google

- Capacidad de obtener el control remoto total de un dispositivo Android (a trav¨¦s de los servicios de accesibilidad y de la pantalla compartida en tiempo real)

Gracias a un an¨¢lisis en profundidad de una nueva oleada de muestras detectadas el 29 de marzo de 2021, Cleafy encontr¨® pruebas de que TeaBot hab¨ªa empezado su carrera criminal atacando a entidades bancarias de Italia.

Adem¨¢s, aunque TeaBot parece estar ¡°en sus primeras etapas de desarrollo seg¨²n algunas irregularidades encontradas durante nuestro an¨¢lisis¡±, se descubri¨® que los desarrolladores ya han incluido soporte multiling¨¹e seg¨²n algunas referencias textuales encontradas en 6 idiomas distintos -espa?ol, ingl¨¦s, italiano, alem¨¢n, franc¨¦s y holand¨¦s-, lo que significa una cosa: TeaBot se preparaba para atacar bancos por el resto de Europa.

M¨¢s de 60 bancos europeos atacados

El resultado de esto fue que entidades bancarias de B¨¦lgica y Pa¨ªses Bajos tambi¨¦n se han visto afectadas por el nuevo malware, siendo un total de m¨¢s de 60 bancos atacados en total. La clave de todo es que TeaBot no puede atacar esos bancos sin un ¡®socio¡¯, que en este caso es cualquiera que tenga su m¨®vil infectado.

Si este malware te hackea el m¨®vil, lo siguiente que hace es buscar los datos bancarios que lleves -numeraciones de cuentas, contrase?as, tarjetas de cr¨¦dito escaneadas. Y una vez los tiene, los usa como ¡®arma¡¯ para atacar a la entidad bancaria a la que pertenezcan. Y todo desde tu m¨®vil sin que te des cuenta.

Los principales permisos conseguidos por TeaBot le permiten

Espa?a, campo de pruebas

Aunque han sido los bancos de Italia, B¨¦lgica y Pa¨ªses Bajos los atacados y afectados, lo cierto es que Cleafy descubri¨® que en enero pasado, TeaBot se hab¨ªa centrado en atacar bancos espa?oles. Y en marzo, el rastro del malware apareci¨® en bancos alemanes a la par que italianos.

Seg¨²n el post oficial de Cleafy, en el que realiza un an¨¢lisis muy t¨¦cnico de c¨®mo opera TeaBot, el malware est¨¢ en sus primeros estadios. La duda no es si atacar¨¢ m¨¢s entidades bancarias en EU, sino cu¨¢ndo, y cu¨¢ndo llegar¨¢ a Espa?a.