Primer extremo de una tarjeta de regalo de Google Play.

Una aplicación maliciosa descargada más de 10.000 veces desde Google Play instaló en secreto un troyano de acceso remoto que robaba las contraseñas, los mensajes de texto y otros datos confidenciales de los usuarios, informó una empresa de seguridad.

El caballo de Troya, conocido con los nombres de TeaBot y Anatsa, se dio a conocer el pasado mes de mayo. Usó software de transmisión y abusó de las funciones de accesibilidad de Android de una manera que permitió a los creadores de malware ver de forma remota las pantallas de los dispositivos infectados e interactuar con las operaciones realizadas por los dispositivos. En ese entonces, TeaBot estaba programado para robar datos de una lista predefinida de aplicaciones de alrededor de 60 bancos de todo el mundo.

El martes, la empresa de seguridad Cleafy informó que TeaBot había regresado. Esta vez, el troyano proliferó a través de una aplicación maliciosa llamada QR Code & Barcode Scanner que, como sugiere su nombre, permitía a los usuarios interactuar con códigos QR y códigos de barras. La aplicación tuvo más de 10,000 instalaciones antes de que los investigadores de Cleafy notificaran a Google sobre la actividad fraudulenta y Google la eliminó.

«Una de las mayores diferencias[s] en comparación con las muestras descubiertas en mayo de 2021, el aumento de las aplicaciones específicas ahora abarcaAplicaciones de banca en casa, aplicaciones de seguros, billeteras criptográficas e intercambios criptográficos‘, escribieron los investigadores de Cleafy. «En menos de un año, la cantidad de aplicaciones objetivo de TeaBot aumentó en más del 500 %, de 60 objetivos a más de 400».

En los últimos meses, TeaBot también comenzó a admitir nuevos idiomas como el ruso, el eslovaco y el chino mandarín para mostrar mensajes personalizados en los teléfonos infectados. La aplicación de escáner no autorizada distribuida en Play solo fue detectada como maliciosa por dos servicios antimalware y solicitó pocos permisos en el momento de la descarga. Todas las revisiones presentaron la aplicación como legítima y funcionando bien, lo que dificulta que las personas con menos experiencia identifiquen a TeaBot como un riesgo.

Una vez instalada, la aplicación no autorizada de escáner de código QR y código de barras mostraba una ventana emergente que informaba a los usuarios que había una actualización disponible. Pero en lugar de hacer que la actualización esté disponible a través de Play como de costumbre, la ventana emergente la descargó de dos repositorios específicos de GitHub creados por un usuario llamado Feleanicusor. Los dos repositorios a su vez instalaron TeaBot.

Este gráfico ofrece una descripción general de la cadena de infección desarrollada por los autores de TeaBot:

clave

Los investigadores de Cleafy escribieron:

Una vez que los usuarios acepten descargar y ejecutar la «actualización» falsa, TeaBot comenzará su proceso de instalación solicitando permisos de Servicios de Accesibilidad para obtener los permisos necesarios:

  • Pantalla de visualización y control: Se utiliza para recuperar información confidencial como credenciales de inicio de sesión, SMS, códigos 2FA de la pantalla del dispositivo.
  • Ver y realizar acciones: Se utiliza para aceptar varios tipos de permisos inmediatamente después de la etapa de instalación y realizar acciones maliciosas en el dispositivo infectado.

clave

TeaBot es solo el último malware de Android distribuido a través del mercado de aplicaciones oficial de Google. La empresa generalmente elimina rápidamente las aplicaciones maliciosas una vez que se informa, pero continúa teniendo dificultades para identificar el malware. El personal de Google no respondió a un correo electrónico solicitando comentarios sobre esta publicación.

La publicación del martes de Cleafy incluye una lista de indicadores que las personas pueden usar para determinar si tienen instalada la aplicación maliciosa.

Imagen promocional de Getty Images

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí