Especialistas en seguridad móvil han vuelto a detectar la aparición del troyano bancario TeaBot oculto en una aplicación de código QR disponible en Google Play Store, desde donde ha sido descargado por más de 10,000 usuarios. Aunque Google ya había detectado una operación similar, el grupo responsable de esa campaña ha vuelto a atacar.
El reporte, publicado por la firma de seguridad Cleafy, señala que estas aplicaciones están actuando como un dropper de malware para dispositivos Android. Las aplicaciones que ocultan el malware se envían sin código malicioso y solicitan permisos mínimos, lo que dificulta que los mecanismos de seguridad en Play Store puedan detectar actividad inusual.
Otro factor que ayuda a evadir la detección es el uso de una app funcional, pues las herramientas descargadas por los usuarios suelen cumplir muy bien con las funciones que prometen, lo que implica la publicación de reseñas positivas en Google Play Store.
Los especialistas detectaron que TeaBot se hizo pasar por un lector de códigos llamado “QR Code & Barcode – Scanner”. Al instalarse en los dispositivos afectados, la aplicación solicitará una actualización a través de un mensaje pop-up, obtenida desde una fuente ajena al repositorio oficial de aplicaciones.
La supuesta actualización es descargada de dos repositorios GitHub pertenecientes al usuario identificado como feleanicusor, donde se alojan múltiples muestras de TeaBot.
Si la instalación de estas muestras se completa, TeaBot se carga en el dispositivo objetivo y aparece como una nueva aplicación con el nombre “QR Code Scanner: Add-On”. Esta nueva aplicación se inicia automáticamente y solicita al usuario que otorgue permiso para usar los Servicios de Accesibilidad, buscando acceso a funciones como:
- Acceso a la pantalla del dispositivo y toma de capturas de pantalla para recopilar credenciales de inicio de sesión, códigos de autenticación, mensajes SMS y otros registros
- Concesión automática de permisos del sistema en segundo plano y sin interacción del usuario
A pesar de que Google ha introducido algunos cambios en la API relacionados con la seguridad en el Servicio de Accesibilidad para el sistema Android 12, los troyanos bancarios como TeaBot siguen abusando de esta característica para sus ataques, sin mencionar que la mayoría de los teléfonos Android todavía ejecutan Android 11 o incluso versiones anteriores, por lo que son altamente vulnerables a esta clase de ataques.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad