Una aplicación de Google Play descargada más de 10.000 veces contenía un RAT que robaba datos
Una app maliciosa descargada de Google Play más de 10.000 veces instalaba subrepticiamente un troyano de acceso remoto que robaba las contraseñas, los mensajes de texto y otros datos confidenciales de los usuarios, según “informó” una empresa de seguridad.

El troyano, que responde a los nombres de TeaBot y Anatsa, salió a la luz el pasado mes de mayo. Utilizaba software de streaming y abusaba de los servicios de accesibilidad de Android de forma que permitía a los creadores del malware ver de forma remota las pantallas de los dispositivos infectados e interactuar con las operaciones que éstos realizaban. En aquel momento, TeaBot estaba programado para robar datos de una lista predefinida de aplicaciones de unos 60 bancos de todo el mundo.
El martes, la empresa de seguridad Cleafy informó de que TeaBot había vuelto. Esta vez, el troyano se propagó a través de una aplicación maliciosa llamada QR Code & Barcode Scanner, que, como su nombre indica, permitía a los usuarios interactuar con códigos QR y de barras. La aplicación contaba con más de 10.000 instalaciones antes de que los investigadores de Cleafy notificaran a Google la actividad fraudulenta y éste la eliminara.
“Una de las mayores diferencias, en comparación con las muestras descubiertas durante.. mayo de 2021, es el aumento de las aplicaciones dirigidas, que ahora incluyen aplicaciones de banca en casa, aplicaciones de seguros, carteras de criptomonedas e intercambios de criptomonedas “, escribieron los investigadores de Cleafy. “En menos de un año, el número de aplicaciones objetivo de TeaBot ha crecido más de un 500%, pasando de 60 objetivos a más de 400”.
En los últimos meses, TeaBot también comenzó a admitir nuevos idiomas, como el ruso, el eslovaco y el chino mandarín, para mostrar mensajes personalizados en los teléfonos infectados. La aplicación de escaneo fraudulenta distribuida en Play sólo fue detectada como maliciosa por dos servicios antimalware, y sólo solicitaba unos pocos permisos en el momento de su descarga. Todas las reseñas presentaban la aplicación como legítima y con buen funcionamiento, lo que hace que TeaBot sea más difícil de reconocer como un riesgo para las personas menos experimentadas.
Una vez instalada, la aplicación maliciosa QR Code & Barcode Scanner mostraba una ventana emergente informando a los usuarios de que había una actualización disponible. Pero en lugar de hacer que la actualización estuviera disponible a través de Play como es normal, la ventana emergente la descargaba de dos repositorios específicos de GitHub creados por un usuario llamado feleanicusor. Los dos repositorios, a su vez, instalaban TeaBot.
Este gráfico ofrece una visión general de la cadena de infección desarrollada por los autores de TeaBot:

Los investigadores de Cleafy escribieron:
Una vez que los usuarios aceptan descargar y ejecutar la falsa “actualización”, TeaBot comenzará su proceso de instalación solicitando los permisos de los Servicios de Accesibilidad para obtener los privilegios necesarios: Ver y controlar la pantalla: utilizado para recuperar información sensible como credenciales de acceso, SMS, códigos 2FA de la pantalla del dispositivo. Ver y realizar acciones: se utiliza para aceptar diferentes tipos de permisos, inmediatamente después de la fase de instalación, y para realizar acciones maliciosas en el dispositivo infectado.
- Ver y controlar la pantalla: se utiliza para recuperar información sensible como credenciales de acceso, SMS, códigos 2FA de la pantalla del dispositivo.
- Ver y realizar acciones: se utiliza para aceptar diferentes tipos de permisos, inmediatamente después de la fase de instalación, y para realizar acciones maliciosas en el dispositivo infectado.

TeaBot es sólo la última pieza de malware para Android que se ha propagado a través del mercado oficial de aplicaciones de Google. La compañía suele eliminar rápidamente las aplicaciones maliciosas una vez que se denuncian, pero sigue luchando por identificar el malware por sí mismo. Los representantes de Google no respondieron a un correo electrónico en busca de comentarios para este artículo.
El post del martes de Cleafy tiene una lista de indicadores que la gente puede utilizar para determinar si han instalado la aplicación maliciosa.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Informática

Jessica Ávila
Me apasiona la música y todo lo relacionado con lo audiovisual desde muy joven, y crecí en esta carrera que me permite utilizar mis conocimientos sobre tecnología de consumo día a día. Puedes seguir mis artículos aquí en Elenbyte para obtener información sobre algunos de los últimos avances tecnológicos, así como los dispositivos más sofisticados y de primera categoría a medida que estén disponibles.