Los investigadores de Prodaft han revelado que el malware TeaBot (también conocido como Toddler o Anatsa) se dirige cada vez más a países de Europa, incluidos el Reino Unido, Francia, Bélgica, Australia, Alemania, Suiza y los Países Bajos.
Nueva ronda de ataques
Según el equipo de Prodaft Threat Intelligence, el malware aún está en desarrollo; sin embargo, se ha dirigido a más de 7.000 dispositivos hasta ahora.
- El troyano móvil se dirigió a clientes de 60 bancos europeos, intentando robar sus credenciales bancarias. Se ha dirigido a aplicaciones móviles para organizaciones financieras, incluidas Belfius, BEO Bank y FinecoBank, entre otras.
- Aunque el troyano no se ha encontrado en Google Play, los investigadores han identificado varios sitios web legítimos que se vieron comprometidos para alojar y distribuir el malware.
- Tras la infección, el malware descarga las páginas de inicio de sesión falsas de su C2, que son similares a la aplicación utilizada por la víctima. Estos se superponen en la parte superior de la pantalla de la víctima que muestra la aplicación bancaria.
- Además, el malware puede robar datos (incluidos los detalles de la billetera de criptomonedas), tomar capturas de pantalla, interceptar códigos 2FA y SMS y realizar registros de teclas.
Ataques recientes de Teabot
En los últimos meses, varias agencias de investigación han identificado campañas activas de los operadores de TeaBot, dirigidas a varios bancos en los países europeos.
- El mes pasado, se descubrió que TeaBot se hacía pasar por aplicaciones bancarias y estaba dirigido a clientes de varios bancos, incluidos BBVA España, BBVA México, Openbank, Santander Bank y Liberbank.
- Casi al mismo tiempo, se observó que el malware imitaba a Kaspersky Internet Security para Android, por lo tanto, intentaba obtener permisos de acceso con privilegios elevados, como los Servicios de accesibilidad, en el dispositivo de la víctima.
Conclusión
Los operadores de malware TeaBot son expertos en disfrazarse de aplicaciones bancarias y otras aplicaciones populares. Además, la inclusión de varios trucos sofisticados, como apuntar a carteras criptográficas y abusar de los servicios de accesibilidad, lo convierte en una amenaza peligrosa.