Teabot : le malware braqueur de banques en Europe

Un nouveau trojan Android s’empare actuellement des banques en Europe. Les chercheurs en cybersécurité de Cleafy l’ont repéré et l’ont baptisé « Teabot ». Ce virus procède par le détournement des données financières en contrôlant le téléphone de la victime.

Récemment, des malwares se multiplient sur Android sous forme de chevaux de Troie bancaires. En effet, plus d’une soixantaine des banques européennes sécurisent les paiements en envoyant un code unique par SMS. Cependant, cette stratégie est encore insuffisante. Ainsi, une étude est toujours en cours pour renforcer l’authentification à l’aide d’une application mobile. Teabot profite de ce temps de recherche pour effectuer ses activités frauduleuses, en commençant en Espagne, en Allemagne, en Italie, en Belgique et aux Pays-Bas.

Le nouveau malware Teabot est identique à Flubot

Cleafy a récemment publié un rapport annonçant qu’un nouveau virus Android s’attaquait aux banques en Europe. Les chercheurs en cybercriminalité l’ont découvert au début du mois de janvier 2021 et l’ont appelé « Anatsa ». Toutefois, pour mieux suivre ce malware dans leur taxonomie interne, ils ont décidé de l’appeler Teabot.

L’activité du virus en question est identique à celle du logiciel malveillant Flubot. En effet, les escrocs envoient un SMS en se faisant passer pour MRW ou UPS. Le message contient des informations sur un colis qui n’attend que d’être récupéré par la personne ciblée. En outre, il comporte un lien menant vers une page web très semblable à celle de MRW et UPS.

Notons que sur le site, il est indiqué que le suivi du colis nécessite l’utilisation d’une application en dehors du Play Store. Or, dès que l’application malveillante est téléchargée sur l’appareil, elle tente de s’installer en tant que service Android. Et lorsque la victime approuve l’installation, le malware permet au cheval de Troie bancaire d’accéder à son téléphone mobile.

Comment ce cheval de Troie bancaire fonctionne-t-il ?

Une fois que Teabot est opérationnel sur le téléphone, il se dissimule derrière d’autres applications telles que VLC Media Player, Android Service, DHL, UPS, bpost ou Mobdro. Puis, il demande des autorisations Android afin de pouvoir suivre les activités de la personne cible et contrôler l’appareil. Si la demande est approuvée, le malware supprime son icône du menu du téléphone. Ce qui permet aux auteurs de l’attaque d’avoir un flux direct de l’écran de ce dernier.

Quand l’utilisateur essaie d’ouvrir une de ses applications bancaires, Teabot superpose une fausse page au-dessus de l’officielle et s’en sert comme calque. Puis, l’escroc enregistre les saisies, capture l’écran, et obtient les identifiants et les numéros de cartes bancaires dans son serveur. Ce n’est pas tout ! Le logiciel malveillant intercepte également les SMS à code unique et masque les notifications pour contourner l’authentification à double facteur. De cette manière, les criminels peuvent accéder au compte de la victime.

Avec l’évolution de la technologie, la plupart des gens utilisent leurs appareils mobiles pour gérer les paiements. Cependant, plus d’un accordent moins d’importance à la protection de leurs appareils. C’est pourquoi les cybercriminels en profitent pour faire leur braquage.

Toutefois, il est à remarquer que Teabot n’en est encore qu’à son stade de développement. Ceci dit qu’il n’est pas trop tard de le maîtriser. Donc, en cas d’attaque, les victimes doivent contacter tout de suite leur banque pour renforcer la sécurité de leur compte. Elles doivent par la suite restaurer leur téléphone avec ses réglages d’origine. Et pour prévenir cette situation, elles ont intérêt à utiliser un antivirus reconnu et éviter d’installer des logiciels à partir d’une source non fiable.