ResponTodo

De vez en cuando, aparece una aplicación en Google Play que logra engañar a los usuarios para que descarguen malware. Eso es exactamente lo que sucedió con una aplicación reciente que instaló un troyano de acceso remoto que robaba contraseñas, mensajes de texto y otros datos personales.

El troyano se llama TeaBot o Anatsa y comenzó a aparecer por primera vez en mayo de 2021. Permite que la persona malintencionada vea de forma remota las pantallas de los dispositivos infectados e interactúe con las operaciones realizadas por el propietario del dispositivo.

Según lo informado por la empresa de seguridad Cleafy , el malware TeaBot está de vuelta en una aplicación de Android llamada QR Code & Barcode Scanner. Los investigadores informaron a Google de la aplicación maliciosa y la aplicación se eliminó de Google Play. Sin embargo, ya se descargó más de 10.000 veces antes de que se retirara. Si tiene esta aplicación en su teléfono, elimínela inmediatamente.

“Las capacidades RAT de TeaBot se logran a través de la transmisión en vivo de la pantalla del dispositivo (solicitada a pedido) más el abuso de los Servicios de accesibilidad para la interacción remota y el registro de teclas. Esto permite que los Threat Actors (TA) realicen ATO (Account Takeover) directamente desde el teléfono comprometido, también conocido como ‘fraude en el dispositivo’”, dice el informe de Cleafy.

Una vez que la aplicación está instalada, inmediatamente solicitará una actualización a través de un servicio externo, que es donde instala el malware y lo que le permite burlar la seguridad de Google Play.

La nueva versión del troyano puede apuntar a aplicaciones de banca doméstica, aplicaciones de seguros, billeteras criptográficas e intercambios criptográficos. La encarnación original podría apuntar a aproximadamente 60 aplicaciones y ahora puede obtener más de 400.

Este es un malware RAT aterrador y sirve como un recordatorio para tener cuidado con lo que instala en su teléfono.