Nueva aplicación en la Play Store la cual está infectada con un troyano
De nuevo sale a la luz una aplicación infectada más que se puede descargar por la Play Store, aunque la que se detectó en enero fue eliminada, por lo que estamos viendo actualmente pueden volver a introducir aplicaciones que puede afectar a nuestro dispositivo Android.
El troyano se llama TeaBot, el cual es un troyano bancario que se originó en 2021 y solo está en Android. Fue diseñado para robar credenciales y mensajes SMS.
Se conoce que en 2021 estaba en pleno desarrollo y no era tan eficaz como lo es actualmente. Con la publicación de la app en Play Store, ha sido tremendamente distribuido a los usuarios de Android. Con las actualizaciones que ha obtenido este troyano, ahora es mucho más fácil hacerse con nuestros dispositivos Android. Esta aplicación tuvo más de 10.000 descargar en la Play Store, lo que significa que muchos de los usuarios Android pueden tener infectado su dispositivo.
Esta aplicación se hace pasar por un lector de código QR pero lleva oculto un código malicioso por lo que la Play Store y los usuarios no detectan que pueda ser un virus, por eso todas son reseñas muestran que la aplicación es buena y a la vez útil.
Una vez que tenemos descargada la aplicación y la abrimos, salta una ventana emergente que requiere de una actualización, la cual no procede desde la Play Store, sino, desde una fuente externa.
Cuando la víctima acepta dicha actualización de terceros no confiable, automáticamente se descarga e instala TeaBot en nuestros dispositivos como una nueva aplicación que se hace llamar «Escáner de código QR: Complemento».
Una vez tengamos dicho «complemento», este solicita al usuario permisos para usar los Servicios de Accesibilidad, para efectuar las funciones que explicaremos a continuación:
- Ver la pantalla de nuestro dispositivo y hacer automáticamente capturas de pantalla en las que se manifiesten algún tipo de credenciales, ya sean códigos 2FA, inicio de sesión… etc.
- Sin necesidad de que el usuario de consentimiento, realiza acciones como obtener permisos adicionales en segundo plano. Así no dejará ninguna sospecha de que están espiando nuestro dispositivo.
Aconsejamos por la seguridad de los dispositivos que se proceda a desinstalar todas las aplicaciones que se han instalado de Lector de código QR, ya sea la que instaló el mismo usuario en su dispositivo como el «complemento» que se instaló automáticamente.
