askformore@bittnet.ro
Clase Programate

Malware Android imita tastarea umana pentru a fura bani

O noua generatie de malware Android pacaleste sistemele de securitate

Criminalii cibernetici devin din ce in ce mai sofisticati, folosind tehnici de automatizare avansate pentru a imita interactiuni umane reale, evitand astfel detectia de catre sistemele moderne de securitate. Recent, cercetatorii in securitate cibernetica au descoperit o forma inovatoare de malware Android, cunoscuta in comunitatea de specialitate sub denumirea Teabot. Acest malware este capabil sa simuleze actiuni umane reale, precum apasarea tastelor si utilizarea ecranului tactil, pentru a ocoli masurile traditionale de protectie si autentificare, in special cele implementate de aplicatiile bancare.

Ce este Teabot si cum functioneaza?

Teabot nu este un malware necunoscut. A fost descoperit initial in 2021, insa varianta noua identificata in 2024 prezinta capabilitati mult mai rafinate si greu de depistat. Noua versiune foloseste un sistem de automatizare bazat pe bibliotecile Android Accessibility (serviciile de accesibilitate), permitand executarea de comenzi exact cum ar face-o un utilizator real, ceea ce il face dificil de detectat.

  • Simuleaza tastatura umana: malware-ul poate introduce credentiale in aplicatii sensibile precum cele bancare, folosind o imitatie precisa a modului in care un utilizator uman scrie.
  • Evita solutiile anti-bot: majoritatea aplicatiilor bancare folosesc mecanisme de protectie impotriva robotilor. Acest malware pacaleste aceste mecanisme, actionand “uman”.
  • Monitorizare si control de la distanta: atacatorii pot urmari actiunile in timp real si pot reactiona la factorii de autentificare dinamici, precum coduri OTP.

Accesul prin Serviciile de Accesibilitate

Una dintre metodele prin care acest malware reuseste sa obtina controlul asupra UI-ului Android este abuzarea serviciilor de accesibilitate. Odata ce victima ofera permisiunile necesare, Teabot poate interactiona cu ecranul dispozitivului, poate naviga prin meniuri si poate interacționa cu orice aplicatie instalata.

Permisiunile de accesibilitate sunt adesea scaparea de care se folosesc dezvoltatorii de malware pentru a controla complet un telefon Android.

Cum fura bani malware-ul Android?

Atacurile acestui tip de malware sunt orientate in mod special catre aplicatii bancare. Odata instalat si operational, malware-ul incearca sa obtina acces la conturile bancare ale victimelor folosind o succesiune de actiuni automate camuflate intre evenimente de “touch” si “swipe”.

  1. Malware-ul colecteaza credentialele de conectare prin keylogging sau autofill simulativ.
  2. Deschide aplicatia bancara si se logheaza folosind datele furate.
  3. Simuleaza comenzi de transfer bancar catre conturi controlate de atacatori.
  4. Intercepteaza coduri OTP (daca telefonul permite access la SMS) si finalizeaza tranzactia.

O caracteristica noua notabila este capacitatea malware-ului de a reactiona la evenimentele in timp real. De exemplu, daca banca solicita o confirmare aditionala, malware-ul poate interactiona instantaneu cu notificarea sau SMS-ul de confirmare.

Securitatea biometrica si capturile malware-ului

In mod surprinzator, in unele cazuri, malware-ul poate ocoli si masurile biometrice simple (precum amprenta), prin inginerie sociala si capturi de ecran care pacalesc utilizatorul sa autorizeze anumite actiuni in mod voluntar.

Teabot nu “sparge” efectiv autentificarea biometrica, dar o ocoleste solicitand utilizatorului sa ofere de bunavoie ceea ce este necesar.

Atacuri directionate si deja distribuite la scara larga

Potrivit analistilor de la Cleafy (firma de cybersecurity italiana care a studiat activitatea malware-ului), versiunea noua de Teabot este activa in peste 400 de aplicatii clonate ale unor branduri cunoscute, disponibile pe site-uri tertiare si uneori chiar si in Google Play – inainte de a fi eliminate de echipele Google.

  • Tari vizate: Italia, Spania, Germania, Olanda, si recent, Romania.
  • Aplicatii imitate: Aplicatii bancare locale, servicii de curierat, aplicatii de lifestyle, chiar si jocuri aparent inofensive.
  • Tehnologie folosita: AndroidAutomator, Accessibility API, tehnici de obfuscatie avansate.

Infiltrarea in lanturile de distributie software

Mai multe cazuri au evidentiat ca Teabot a fost inserat in versiuni distribuite ilegal ale aplicatiilor. Victimele instaleaza aceste aplicatii din surse neoficiale, iar odata acordate permisiunile, malware-ul se activeaza in fundal.

Tehnica este cunoscuta sub numele de “dropper”, iar aplicatia initiala actioneaza ca un purtator pentru malware-ul efectiv.

Cum te poti proteja de acest tip de atac?

Prevenirea este cea mai eficienta arma impotriva acestui tip de malware. Urmatoarele recomandari sunt esentiale pentru a preveni infectarea cu malware care se comporta ca un utilizator uman:

  • Nu instala aplicatii din surse necunoscute. Foloseste exclusiv Google Play si verifica autorul aplicatiei.
  • Evita oferirea permisiunilor de accesibilitate daca aplicatia nu le justifica clar.
  • Actualizeaza periodic sistemul de operare si aplicatiile instalate. Patch-urile de securitate sunt cruciale.
  • Foloseste solutii antivirus profesioniste pentru Android. Preferabil cu suport anti-malware comportamental.
  • Verifica constant permisiunile acordate aplicatiilor. Mergi la Settings > Accessibility si revizuieste lista.

Ce inseamna acest tip de malware pentru viitorul securitatii mobile?

Universul amenintarilor mobile evolueaza rapid. Malware-ul care imita comportamentul uman este doar inceputul. Cu capabilitati de invatare automata si AI generativa, astfel de metode pot deveni si mai greu de detectat, facand:

  • Scanarea traditionala bazata pe semnaturi aproape inutila.
  • Atacurile directionate (spear phishing) mult mai greu de prevenit.
  • Autentificarea bazata pe interactiuni umane nesigura fata de simulari algoritmice.

Viitorul necesita o schimbare de paradigma in securitate

Detectia bazata pe comportament si sistemele alimentate de inteligenta artificiala devin absolut necesare in ecosistemele Android. In acelasi timp, educatia digitala continua ramane la baza prevenirii infectiilor grave.

Chiar si utilizatorii avansati pot fi pacaliti de metode noi sofisticate, motiv pentru care industria de cybersecurity trebuie sa se adapteze in ritm accelerat.

Concluzie

Aparitia unui malware capabil sa imite comportamentul uman pe dispozitivele Android reprezinta un punct de cotitura in strategia de atac a criminalilor cibernetici. Eficienta sa in evitarea detectiei si exploatarea sistematica a utilizatorului final arata ca Android devine un teren tot mai vulnerabil in lipsa unei protectii adecvate.


Recomandarea noastra ramane: nu descarcati aplicatii din surse necunoscute, verificati constant permisiunile, si investiti in educatie continua privind securitatea digitala.

Cu siguranta ai inteles care sunt noutatile din 2025 legate de securitate cibernetica, daca esti interesat sa aprofundezi cunostintele in domeniu, te invitam sa explorezi gama noastra de cursuri dedicate securitatii cibernetice din categoria Cybersecurity. Indiferent daca esti la inceput de drum sau doresti sa iti perfectionezi abilitatile, avem un curs potrivit pentru tine.