27 Marzo 2023
È tornato TeaBot, anzi non se n'è mai andato. Il trojan venuto alla ribalta nel maggio scorso anche in Italia ha cambiato pelle trovando nuovi modi per ingannare chi aveva imparato a conoscerlo e dunque per sopravvivere. A darne notizia sono ancora una volta i ricercatori di Cleafy, gli stessi che nel maggio 2021 avevano messo in guardia il mondo: "TeaBot non è sparito, anzi: è più subdolo che mai", fanno sapere.
Il trojan a cui piacciono credenziali d'accesso, dati bancari e informazioni sensibili in genere di recente è stato intercettato in un'app regolarmente pubblicata sul Play Store. Gli oltre 10.000, a leggere i numeri pubblicati da Google stessa, ad aver scaricato QR Code & Barcode - Scanner hanno dato del "tu" al pericolo, sperando che siano riusciti ad evitarlo. L'app - inutile che la cerchiate, è già stata rimossa da Google - nonostante come attestano le recensioni sullo store funzionasse benissimo, faceva da "ponte" per l'approdo di TeaBot sullo smartphone del malcapitato.
Alla prima apertura infatti richiedeva di scaricare un add on, una seconda app necessaria al funzionamento della prima. Nessuna "vera" integrazione allo scanner per i QR però, solo un pacchetto contenente TeaBot che diventava invisibile non appena ottenute le autorizzazioni dall'utente: lettura e controllo dello schermo e capacità di controllare le azioni dell'utente e di eseguirne a sua volta le principali. Il necessario per spiare l'utente e carpirne i dati sensibili, insomma.
Cleafy fa notare che la maggiore evoluzione di TeaBot nei mesi gli ha permesso di accrescere la tipologia delle app oggetto di attenzioni "speciali", tra home banking, assicurazioni, portafogli e scambi di criptovalute: "In meno di un anno - scrivono - il numero di applicazioni targetizzate da TeaBot è cresciuto di oltre il 500%, passando da 60 tipologie in target a oltre 400". Inoltre la portata del trojan è stata ampliata con il supporto a diverse altre lingue, tra cui il russo, lo slovacco e il mandarino, ed emerge chiaramente dalla heatmap realizzata dai ricercatori.
Il caso di QR Code & Barcode - Scanner ha dimostrato quanto TeaBot possa infiltrarsi in maniera subdola nello smartphone di chiunque. L'app è stata rimossa dal Play Store, ma conviene tenere alta la guardia nei confronti di quelle app che una volta installate richiedono subito un aggiornamento per utilizzarle, specie quando questo prevede la concessione di un numero maggiore di autorizzazioni rispetto all'app di partenza.
Credits immagine in apertura: 123RF
Commenti
Grazie.
Perché sono tutte app open source, quindi in linea teorica più sicure.
In ogni caso la maggior parte delle applicazioni su quello store hanno pochissimi permessi e sono votate alla privacy
Una curiosità, perchè scrivi che scaricare app da f-droid è più sicuro del play store?
Grazie.
un sentito ringraziamento a google che non solo non controlla, ma non ha di inserire un c***o di QR code reader di default in Android lasciando il compito al singolo produttore
Esatto, non è quella, mi sono precipitato a controllare ed effettivamente la uso anch'io.
Sì ma la funzione integrata nella fotocamera non è da tantissimo che c'è, gli utenti meno smaliziati di vecchia data si ricordano che sul vecchio smartphone serviva l'app per i qr code e la reinstallano senza sapere che ora è integrata.
Di app con questo nome (o molto simile) ce ne sono parecchie. Sarebbe meglio pubblicare anche l'ID.
Per esempio io uso "QR & Barcode Scanner" di Gamma Play (100 milioni di download; id=com.gamma.scan). Che non mi sembra quella di cui parlate
si ma 10k installazioni possono benissimo essere bot. Anche perchè altrimenti non mi spiego come una app con un nome così generico possa essere trovata, a maggior ragione da utenti che non sanno nemmeno come usare un telefono.
Ma gli utenti inforNati-cliccoscimmia non ci arrivano, altrimenti non mi spiego come potesse andare avanti. (stiamo sempre parlando di ca. 10.000 Installazioni a livello globale).
Problema che si risolve facilmente usando app da f-droid, uno di quegli store alternativi solo per veri hackkerman, o con la funzione integrata nella fotocamera di tantissimi smartphone
Quindi cmq si doveva autorizzare l'app ad installare un pacchetto da sorgenti esterne al play store?