David García 17/09/21 9 min read

TeaBot: Troyano bancario para Android

Los teléfonos móviles no están libres de los troyanos bancarios. En esta ocasión vamos a hablar de un troyano para Android que fue descubierto por el equipo de Inteligencia de Amenazas y Respuesta a Incidentes (TIR) de Cleafy en enero de 2021. Este nuevo troyano recibe el nombre de TeaBot y parece no estar relacionado con ninguna familia conocida de troyanos bancarios.

Las muestras recopiladas entre los meses de mayo y julio tienen como objetivo cometer fraude contra al menos 60 bancos en Europa, de entre ellos bancos de Italia, España, Alemania, Bélgica, Suiza y los Países Bajos.

teabot-malware-android-intezeranalize

Análisis básico de la última muestra encontrada. Fuente: https://analyze.intezer.com/

 

Características

Es un troyano bancario con capacidades RAT (herramienta de acceso remoto / troyano de acceso remoto) por lo que permite al atacante acceso remoto y control de los dispositivos. La principal funcionalidad de este troyano es extraer información relacionada con la banca online.

El troyano se camufla como si se tratase de una aplicación legítima. Desde que apareció ha ido cambiando el nombre de la aplicación. Inicialmente la aplicación se llamaba TeaTV pero después pasó a ser MediaPlayer, Mobdro tv, DHL, UPS y Bpost.

teabot-malware-android-aplicaciones

Evolución del cambio de aplicaciones que contiene TeaBot.

Una vez está activo en el dispositivo Android permite a los atacantes obtener una retransmisión en vivo de la pantalla del dispositivo e interactuar con él a través de los servicios de accesibilidad que proporciona el sistema.

También puede enviar, recibir y ocultar mensajes SMS, habilitar funcionalidades de registro de claves, además de robar códigos de autenticación de Google.

Si los servicios de accesibilidad de Android están desactivados el malware hostiga al usuario con ventanas emergentes que buscan el clic del usuario para habilitar estos servicios.

Además superpone pantallas falsas de inicio de sesión de aplicaciones de banca para conseguir su objetivo, las credenciales de acceso e información de las tarjetas de crédito.

 

Indicios encontrados en el análisis estático

En el análisis estático de diversas muestras del troyano, realizados por el equipo de Cleafy, se extrajeron los nombres de las aplicaciones que mencionamos anteriormente y se descubrió que el uso de esas aplicaciones empleaba el mismo señuelo usado por el troyano bancario FluBot /Cabassous sobre el cual ya publicamos un informe en el mes de abril.

Del archivo AndroidManifest se ha localizado un listado de permisos que consigue TeaBot que permiten:

  • Enviar e interceptar mensajes SMS. La banca online habitualmente envía SMS para confirmación de movimientos bancarios como las transferencias bancarias o los pagos.
  • Leer la agenda y el estado del teléfono.
  • Recopilar información sobre las medidas biométricas que por otra parte en muchas aplicaciones bancarias permiten confirmar acciones.
  • Edita la configuración de audio para silenciar el dispositivo.
  • Eliminar aplicaciones instaladas.
  • y los que ya hemos hablado anteriormente como aprovechar los servicios de accesibilidad de Android y mostrar ventanas emergentes.

 

Comportamiento

En cuanto al comportamiento de TeaBot, éste utiliza funcionalidad de registro de pulsaciones de teclas (keylogger) para robar las credenciales bancarias. Este comportamiento también se ha observado en otro troyano bancario llamado EvenBot. Pero mientras que EvenBot rastrea cualquier aplicación, TeaBot solo lo hace con las aplicaciones específicas de las entidades bancarias que le interesan. De esta forma, genera menos tráfico entre el centro de mando y control (C&C).

teabot-malware-android-VTGraph

Gráfico de interacción de TeaBot con otros troyanos y Keyloggers

En sus primeras comunicaciones con el C&C, TeaBot envía la lista de aplicaciones instaladas en el dispositivo para verificar si alguna de ellas es una de las necesarias para poder descargar la carga útil. Con esta carga útil es con la que se realizan los ataques de superposición y la que rastrea la actividad del usuario en la aplicación bancaria. Toda la información que se recoge se envía de vuelta al C&C cada 10 segundos.

 

Conclusiones

TeaBot es un troyano bancario para Android descubierto en enero de 2021. Actualmente su actividad está dirigida a bancos Europeos. Se ha visto que desde su descubrimiento ha ido utilizando diferentes aplicaciones para descargar su carga útil y conseguir su objetivo.

En el punto de mira están: las credenciales de usuarios de banca online, la información biométrica almacenada en los dispositivos, el control de los SMS y el audio del dispositivo Android para poder confirmar las transacciones.

Se ha observado que copia comportamientos de otros troyanos bancarios como FluBot y EvenBot por lo que hay que estar alerta y seguir investigando este troyano ya que en solo unos meses ha recopilado información de gran cantidad de usuarios.

 

Referencias

https://www.cleafy.com/cleafy-labs/teabot

https://www.pcrisk.com/removal-guides/20844-teabot-malware-android

https://www.zdnet.com/article/toddler-mobile-banking-malware-surges-across-europe/

avatar

David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.