I trojan da remoto, o RAT, possono colpire soprattutto app bancarie. Gli artefici di questi trojan ti attaccano da ogni direzione e il malware che creano è spesso insidioso. Il trojan che ha colpito Android e prende il nome di TeaBot, in circolazione dal 2021, originariamente ha cercato di attirare gli utenti tramite “smishing” o messaggi SMS falsi dall’aspetto innocente. Sfortunatamente, quest’anno ha trovato nuovi metodi.
Gli esperti di sicurezza informatica hanno recentemente pubblicato un nuovo rapporto su TeaBot che dovrebbe mettere in guardia qualsiasi utente Android. Il team ha scoperto che ci sono almeno 400 app per operazioni bancarie coinvolte. Colpite anche le app per le transazioni delle criptovalute e per le assicurazioni digitali. Il malware ha iniziato a prendere di mira soprattutto gli utenti localizzati in Russia, Hong Kong e Stati Uniti.
App colpite da TeaBot, il trojan che agisce spesso da remoto
TeaBot manipola i servizi di accessibilità e la capacità di reazione del dispositivo infetto affinché per gli aggressori sia possibile interagire da remoto con i telefoni e monitorarli tramite key-logging. Una delle sue ultime incarnazioni conosciute è emersa tramite un’app sul Play Store, che funge da esca per i malware e si occupa di scannerizzare codici QR. Quando TeaBot colpisce per la prima volta il tuo telefono, è innocuo e si comporta normalmente, facendo quel che l’app infetta dovrebbe fare normalmente. Alcune app colpite arrivano anche a 10.000 installazioni e le recensioni spesso non rivelano segnali di allarme.
Al momento del download, l’app colpita da questo trojan mostra un popup che richiede l’installazione di un componente aggiuntivo. Le app innocenti in genere installano tale software tramite Google Play Store. Una volta dentro, il malware entra in funzione, accedendo alle autorizzazioni per i servizi di accessibilità del tuo telefono, che gli consentono di prendere il controllo del tuo schermo. Talvolta acquisisce nuove capacità linguistiche (russo, cinese mandarino) per andare d’accordo con i Paesi presi di mira. In altri casi elude il rilevamento convenzionale da parte delle app anti-malware standard.