A principios de enero de 2021, el equipo de Threat Intelligence and Incident Response (TIR) descubrió y analizó un nuevo troyano bancario Android. Decidimos llamar a esta nueva familia TeaBot ya que parece no estar relacionada con ninguna familia conocida de troyanos bancarios.
El objetivo principal de TeaBot es robar las credenciales de las víctimas y los mensajes SMS para habilitar escenarios de fraude contra una lista predefinida de bancos (se extrajeron más de 60 bancos objetivo)
Una vez que TeaBot se instala con éxito en el dispositivo de la víctima, los atacantes pueden obtener una transmisión en vivo de la pantalla del dispositivo (bajo demanda) y también interactuar con él a través de los Servicios de accesibilidad.
El 29 de marzo de 2021 detectamos por primera vez la inclusión de inyecciones contra bancos italianos
Asimismo, a principios de mayo de 2021, detectamos por primera vez también la inclusión de inyecciones contra bancos de Bélgica y Holanda.
En el momento de escribir este artículo, TeaBot parece estar en sus primeras etapas de desarrollo según algunas irregularidades encontradas durante nuestro análisis.
En aras de la integridad, después de nuestra investigación, notamos que el nombre ‘Anatsa’ también se usa para rastrear esta familia de malware.
Gracias a un análisis en profundidad de una nueva ola de muestras detectadas a finales de marzo de 2021, se encontró, por primera vez, múltiples cargas útiles contra bancos italianos.
Además, TeaBot parece estar en sus primeras etapas de desarrollo de acuerdo con algunas irregularidades encontradas durante nuestro análisis, pero los desarrolladores ya han incluido soporte en varios idiomas de acuerdo con algunas referencias textuales encontradas (por ejemplo, español, italiano, alemán, etc.).
Suponemos que TeaBot, similar a Oscorp, está tratando de lograr una interacción en tiempo real con el dispositivo comprometido combinado con el abuso de los servicios de accesibilidad de Android evitando la necesidad de una “inscripción de nuevo dispositivo” para realizar un escenario de adquisición de cuenta (ATO).
