El peligroso malware llamado TeaBot

0
Comparte ese artículo
Autora: Idalia Pérez Robledo de Martínez | Alumna Master Universitario en Ciberdelincuencia de la UNIR
Introducción

Desde el inicio de la existencia del ser humano sobre la faz de la tierra, se ha hecho necesario comunicarse, por lo cual se han utilizado todo tipo de medios y formas para la comunicación desde señales de humo, palomas, papel, telégrafo, teléfono, computadoras y una serie de herramientas que, en esta era moderna, han dado como resultado la denominada revolución en las telecomunicaciones con la utilización del internet y la implementación de satélites en el cielo para acortar distancias y realizar toda serie de transacciones comerciales, además de otras, entre individuos, empresas y entidades gubernamentales  en las diversas naciones del mundo.

Cabe señalar que, si bien es cierto que la utilización de todos los avances científicos pueden hacer más fácil, efectiva y accesible la interacción entre seres humanos, y las relaciones comerciales, por ejemplo, también es cierto que personas sin escrúpulos, que actúan en contravención de la Ley, llevan a cabo una serie de actividades ilícitas, en el ámbito tecnológico es decir, por medio del internet, ordenadores y dispositivos móviles, ejecutando así, las diversas modalidades de los denominados delitos informáticos, siendo una de estas modalidades diseñar softwares o programas maliciosos, con los cuales ocasionar daños informáticos, según lo que establece el artículo 264 del Código Penal de España, estableciendo de igual forma, sanciones punitivas para el que ocasione daños de índole informáticos, según el tipo penal.

En ese orden de ideas, desde inicios de año 2021, la empresa Cleafy, conformada por un equipo de expertos altamente calificados para la aplicación de tecnologías avanzadas en el campo de la ciberseguridad, detectó el malware denominado Teabot, el cual ha sido difundido inicialmente en Europa, causando graves daños a entidades bancarias principalmente en España, sobre el cual no referimos de manera más detallada, a continuación.

1) Análisis de la amenaza: Clasificación, tipología, objetivo de ataque y antecedentes (FluBot).

Conforme la información brindada por Cleafy (2021), por la experticia del su equipo especializado en inteligencia de amenazas, quienes se dedican a seguir rastros de ciberdelincuentes, así como las herramientas tecnológicas que utilizan y los efectos que causan en redes informáticas, entre otras especialidades, con el objetivo de descubrirlos y atraparlos, lograron descubrir el nuevo troyano bancario Android TeaBot, explicando que el nombre fue asignado ya que, al parecer, no se le relaciona con ninguna de las familias de malwares conocidas con anterioridad, por lo cual se puede advertir que estamos ante un programa malicioso bancario nunca antes conocido, además de que, luego de haber detectado mediante su análisis, ciertas irregularidades en este virus, se inclinan por asegurar que el mismo está en fase de desarrollo, lo cual es preocupante por los niveles de actividad y afectaciones que pueda alcanzar.

En ese sentido, Barrio (2017) indica que esta nueva generación preocupa no solamente porque sus acciones se llevan a cabo desde los ordenadores, sino porque precisamente, los diversos sistemas informáticos están conectados de forma transnacional y universal, permitiendo cumplir con sus objetivos desde cualquier lugar en el ciberespacio.

 

  • Clasificación

 

Conforme el descubrimiento por parte de la empresa, del tecnicismo y sofisticación para el uso y funcionamiento de Teabot, este tipo de programas se clasifica dentro de los virus informáticos, por cuya sofisticación se advierte que el mismo fue diseñado por expertos informáticos.

Al respecto, interesante lo que afirma López (2009), quien señala que en el año 1985 aparecieron los primeros denominados caballos de Troya, consistentes en virus informáticos diseñados para infectar sistemas informáticos, algunos diseñadores con la intención de conocer más sobre el alcance de estas afectaciones, según ellos, y otros con la intención de obtener ingresos económicos por la posterior cura para este mal, es decir los conocidos antivirus.

Ahora bien, los descubridores de este virus afirman que las características de Teabot son similares a la de los banqueros de Android, para concretar abusos de los servicios de accesibilidad, tales como Capacidad para realizar ataques de superposición contra aplicaciones de varios bancos para robar credenciales de inicio de sesión e información de tarjetas de crédito, posibilidad de enviar, interceptar u ocultar mensajes SMS, habilitación de funcionalidades de registro de claves, posibilidad de robar códigos de autenticación de Google, y capacidad para obtener el control remoto total de un dispositivo Android, a través de los servicios de accesibilidad y el uso compartido de la pantalla en tiempo real.

 

  • Tipología

 

Menciona la empresa que, del archivo AndroidManifest, lograron extraer indicadores tales como que inicialmente, el nombre de la aplicación utilizada por la aplicación maliciosa era ” TeaTV “, sin embargo, durante el último mes, el nombre de la aplicación se cambió a ” VLC MediaPlayer “, ” Mobdro “, ” DHL “, ” UPS ” y ” bpost “, el mismo señuelo utilizado por el famoso banquero Flubot / Cabassous.

Aunado a lo anterior, indican que al analizar las comunicaciones de la red TeaBot, fue posible agruparlas en los siguientes tres tipos principales:

[C2-URL] / api / botupdate: Cada 10 segundos TeaBot envía una solicitud POST con toda la información sobre el dispositivo comprometido (Figura 8) (por ejemplo, nombre de la aplicación de administración de SMS instalada, inyecciones capturadas, contraseñas encontradas, etc.). Esas comunicaciones son las únicas cifradas con el algoritmo XOR que utiliza la misma clave en varias muestras de TeaBot (“66”). La respuesta suele estar compuesta por una actualización de la configuración (por ejemplo, direcciones C2, comando lanzado, etc.)

[C2-URL] / api / getkeyloggers: Cada 10 segundos, TeaBot realiza una solicitud GET para recuperar la lista de las aplicaciones a las que se dirige la funcionalidad del registrador de teclas

[C2-URL] / api / getbotinjects: Realiza una solicitud POST durante su primera etapa de infección con un archivo JSON (no cifrado), el cual que contiene todo el nombre del paquete instalado en el dispositivo comprometido. Con esta información, TeaBot puede saber si hay una o más aplicaciones específicas y descargar las inyecciones relacionadas.

Por considerarlo de importancia, hacemos referencia también, a los comandos de TeaBot, detectados por la empresa, durante el examen técnico realizado, siendo estos los siguientes:

  • app_delete: elimina una aplicación del nombre del paquete
  • ask_syspass: muestra una ventana emergente de autorización biométrica
  • ask_perms: Solicita permisos a los usuarios
  • change_pass: muestra un mensaje de brindis (pequeña ventana emergente) que informa al usuario que actualice la contraseña (patrón de bloqueo)
  • get_accounts: obtén las cuentas en la configuración de Android
  • kill_bot: quitarse a sí mismo
  • mute_phone: silencia el dispositivo 
  • open_activity: abre una aplicación desde el nombre del paquete
  • open_inject: realiza el ataque de superposición, abriendo la inyección (carga útil html) 
  • reset_pass: En desarrollo
  • start_client: Defina una IP y un PUERTO utilizados para observar el dispositivo comprometido a través de capturas de pantalla       
  • swipe_down: se utiliza para realizar gestos como deslizar el dedo en la pantalla
  • grab_google_auth: abre y obtén los códigos en la aplicación Google Auth
  • activar_pantalla: habilita la pantalla. TeaBot tiene la capacidad de controlar la pantalla del dispositivo (por ejemplo, el banquero puede evitar que la pantalla se oscurezca)

 

  • Objetivos de Ataque

 

Publican los descubridores del TeaBot, que su objetivo es robar las credenciales de las víctimas y los mensajes SMS para habilitar escenarios de fraude contra una lista predefinida de bancos, por lo que se han afectado más de sesenta (60) bancos, hasta este momento, con riesgo de que aumente la cifra.

 

  • Antecedente (FluBot)

 

En este constante enfrentamiento cibernético contra los virus, meses atrás también fue descubierto otro programa malicioso, denominado FluBot, conforme la publicación del diario La Vanguardia (2021), sobre el cual la Policía Nacional, ha informado sobre miles de dispositivos Android en el mundo, que ya han sido afectados, por su alta peligrosidad para este tipo de sistemas, haciendo necesaria una campaña de alertas a toda la ciudadanía, empresarios e instituciones públicas, para advertir sobre sus consecuencias, ya que, por medio de la difusión de un mensaje, con texto infectado por el virus que suplanta la identidad de empresas reconocidas a nivel mundial como DHL y FedEx, logra contacto con usuarios comunicando la supuesta entrega de un paquete especial, animando al usuario a hacer clic sobre el enlace, para supuestamente recibir información sobre dicha encomienda, sin embargo, cuando el usuario tiene acceso al enlace pernicioso, se instala una aplicación en el ordenador o dispositivo, para robar las credenciales, datos e información confidencial, personal y sensitiva de la persona, de tal forma que pueda tener acceso a bancos, tarjetas de crédito y sistemas de pago y, así, finalmente subir toda esa información a un servidor remoto, información que será usada para enviar mensajes similares a los contactos que la primera víctima tenga en su dispositivo móvil, siendo tan peligroso, que el virus podrá ejecutar diversos comandos de forma remota, hasta impedir que se pueda desinstalar.

El FluBot ha sido detectado en Europa, e identificado en España por ESET, al inicio del año 2021, al llevar a cabo la suplantación de la empresa MRW, y actualmente se presenta mayor amenaza de afectar a usuarios de otros continentes.

2) ¿Cómo los ciberdelincuentes logran expandir el virus? Forma de propagación: aplicaciones en Google Play Store vs fuentes no fiables. Archivos APK (Android Application Package). Consecuencias de dar permisos de accesibilidad a aplicaciones. 

Afirma Cleafy que, los principales permisos logrados por TeaBot permiten enviar, interceptar mensajes SMS, leer la agenda y el estado del teléfono, usar modalidades biométricas compatibles con el dispositivo, modificar la configuración de audio, por ejemplo, para silenciar el dispositivo, al igual que muestra una ventana emergente encima de todas las demás aplicaciones utilizado durante la fase de instalación para obligar al usuario a aceptar los permisos del servicio de accesibilidad, eliminar una aplicación instalada y, abusar de los servicios de accesibilidad de Android, tanto así que TeaBot , como otros banqueros, utiliza varias técnicas a analistas abajo lentos, ya que esta aplicación maliciosa actúa como cuentagotas y carga dinámicamente una segunda etapa (.dex) donde reside todo el código malicioso, uso de “código basura” y las comunicaciones de red están parcialmente cifradas mediante el algoritmo XOR.

De igual forma, el virus se difunde mediante el registro de teclas, ya que por medio del abuso de los servicios de accesibilidad de Android, TeaBot puede observar y rastrear toda la información realizada por el usuario en las aplicaciones específicas y mencionan que pudieron observar un comportamiento similar en otro banquero llamado EventBot, pero con la diferencia de que EventBot rastrea cualquier aplicación mientras TeaBot rastrea solo las aplicaciones específicas, por lo tanto, se genera menos tráfico entre el banquero y el C2, y que TeaBot, durante sus primeras comunicaciones con el C2, envía la lista de aplicaciones instaladas para verificar si los dispositivos infectados ya tienen una o más aplicaciones específicas instaladas. Cuando TeaBot encuentra uno de ellos, descarga la carga útil específica para realizar ataques de superposición y comienza a rastrear toda la actividad realizada por el usuario en la aplicación de destino. Esa información se envía de vuelta al C2 asignado cada 10 segundos, añadiendo que, una vez que TeaBot se instala con éxito en el dispositivo de la víctima, los atacantes pueden obtener una transmisión en vivo de la pantalla del dispositivo, y también interactuar con él a través de los Servicios de accesibilidad, por lo que actualmente admite idiomas como español, inglés, italiano, alemán, francés y holandés.

En otro aspecto, señalan que, TeaBot tiene la capacidad de realizar capturas de pantalla para monitorear constantemente la pantalla del dispositivo comprometido y que, cuando el C2 envía el comando ” start_client ” con una dirección IP y un PUERTO, comienza a solicitar las imágenes y TeaBot inicia un ciclo en el que crea una “VirtualScreen” para tomar capturas de pantalla.

Además, tiene la capacidad de deshabilitar Google Protect, enviar / interceptar / ocultar mensajes SMS, robar otras cuentas de la configuración de Android y los códigos 2FA de autenticación de Google, así como simular gestos y clics en la pantalla, a través de Servicios de accesibilidad.

Asimismo, hacen énfasis en que, luego de haberse instalado, TeaBot solicitará los siguientes permisos de Android, los cuales son obligatorios para realizar su comportamiento malicioso, por lo que observa tus acciones para interceptar y observar la acción del usuario, recupera el contenido de la ventana con el fin de obtener información confidencial, como credenciales de inicio de sesión, SMS, códigos 2FA de aplicaciones de autenticación, etc, además de que lleva a cabo gestos arbitrarios para aceptar diferentes tipos de permisos, inmediatamente después de la fase de instalación, como por ejemplo, la ventana emergente de permisos REQUEST_IGNORE_BATTERY_OPTIMIZATIONS, y, una vez que se hayan aceptado los permisos solicitados, la aplicación maliciosa eliminará su icono del dispositivo, y, durante sus primeras comunicaciones, envía la lista de aplicaciones instaladas para verificar si los dispositivos infectados tenían ya instaladas una o más aplicaciones específicas. Cuando se encuentran una o más aplicaciones específicas, el C2 envía las cargas útiles específicas al dispositivo.

En este punto es necesario mencionar que, con relación al delito de daños informáticos, el Código Penal de España en su artículo 664, establece lo siguiente:

Artículo 664:

  1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.
  2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:

1.ª Se hubiese cometido en el marco de una organización criminal.

2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.

5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

Del artículo citado, se colige que, si analizamos la conducta desplegada para ejecutar el virus TeaBot, se cumple con el tipo penal de la norma española, pues conforme lo expuesto por Cleafy, los verbos rectores de la norma punitiva se concretan en cada hallazgo y verificación de este malware, generando como resultado inyección contra bancos de Bélgica y Holanda, así como contra bancos italianos. 

3) Describir o simular un caso real

Como caso, podemos mencionar los hechos cometidos por el  grupo autodenominado Troyanos Or Die (TOD Team), que se encargaba de llevar a cabo una actividad centrada en el mantenimiento, utilización y aprovechamiento de la botnet Florero, y desarrollaron el virus denominado Florero. Dicho virus o código malicioso, a través de los dispositivos de almacenamiento USB, programas de mensajería instantánea, y redes de intercambio de datos, se expandía de forma automática y secreta a otros sistemas informáticos y obstaculizaba su funcionamiento, estando además diseñado para vigilar y controlar ordenadores y realizar ataques desde los mismos. Otro de sus integrantes se encargada de recibir dinero, esto es, pagos por transferencia con monedas bitcoins, como recompensa por desbloquear los equipos y volver a activar los servicios y las bases de datos. Frente a ambos se siguió procedimiento en Polonia. De igual forma, otro integrante era la persona responsable de la adquisición y actualización del virus. 

Una vez que el TOD TEAM dispuso del virus, dieron comienzo a su difusión y a la infección masiva de ordenadores sirviéndose del virus, infectándose al menos 275.921 ordenadores, según informe pericial realizado sobre los discos duros incautados, con un coste estimado de reparación de 3.300.000 euros, pudiendo llegar la cifra hasta los diez millones de ordenadores en todo el mundo. Normalmente la finalidad era realizar ataques de denegación de servicios, que tuvieron lugar, al menos, a las páginas web en España y, según informe del FBI, a las páginas de una empresa canadiense y de una Universidad de dicho país, destruyendo toda su red, estimando los daños en 15.619.000 euros.

4) Conclusión y consejos para evitar esta amenaza

El malware denominado TeaBot, ha sido creado en medio del incremento en el uso de la tecnología y diversos sistemas informáticos, al servicio de usuarios de la banca, con el fin de lograr la intromisión de ciberdelincuentes, a estos sistemas, quienes poniendo en práctica sus conocimientos como expertos en diseños de softwares, logran obtener información de usuarios, así como de las entidades bancarias, tarjetas de crédito y sistemas de pago, para lograr realizar transacciones bancarias de forma ilícita y poder robar así, millones de balboas a sus cibervíctimas.

Frente a esta realidad, es necesario que todos los usuarios y las diversas entidades lleven a la práctica las siguientes medidas de prevención:

  • Establecer contraseñas seguras, en las que se incluyan símbolos, y no compartirlas o divulgarlas.
  •  Evitar abrir correos sospechosos, que no provienen de cuentas o perfiles seguros.
  • Evitar abrir correos de empresas a las cuales no se les ha solicitado ningún servicio.
  • Evitar hacer transacciones o compras en línea, en páginas no conocidas.
  • Evitar realizar compras en internet por ofertas de páginas emergentes que invaden tu actividad sin haber tenido primeramente acceso a ellas.
  • Guardar correctamente su información confidencial, en un lugar seguro y confiable.
  • Cada empresa debe contratar un equipo especializado para implementación de un Mapa de Riesgo y prevenir ciberataques.
  • Cada empresa debe crear y revisar constantemente un Código de Ética del personal y verificar su cumplimiento.
  • Cada empresa debe realizar periódicamente una auditoria de gestión en temas de ciberseguridad.

Referencias

Código Penal de España

Barrio Andrés, M. (2017). Ciberdelitos: amenazas criminales del ciberespacio. Editorial Reus. https://bv.unir.net:2769/es/lc/unir/titulos/46673

López Matachana, Y. (2009). Los virus informáticos: una amenaza para la sociedad. Editorial Universitaria. https://bv.unir.net:2769/es/lc/unir/titulos/71403

https://www.cleafy.com/documents/teabot

https://cincodias.elpais.com/cincodias/2021/05/12/lifestyle/1620 841147_982994.html

https://www.bitdefender.com/blog/labs/threat-actors-usemockups-of-popular-apps-to-spread-teabot-and-flubot-malwareon-android/

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí