Un troyano bancario para Android diseñado para robar credenciales y mensajes SMS ha sido observado una vez más traspasando las protecciones de Google Play Store para apuntar a usuarios de más de 400 aplicaciones bancarias y financieras, incluidas las de Rusia, China y EE. UU.
“Las capacidades de TeaBot RAT se logran a través de la transmisión en vivo de la pantalla del dispositivo (solicitada a pedido) más el abuso de los Servicios de accesibilidad para la interacción remota y el registro de teclas”, investigadores de Cleafy dijo en un informe “Esto permite a los Threat Actors (TA) realizar ATO (Adquisición de cuenta) directamente desde el teléfono comprometido, también conocido como ‘fraude en el dispositivo'”.
También conocido con el nombre de Anatsa, TeaBot surgió por primera vez en mayo de 2021, camuflando sus funciones maliciosas haciéndose pasar por documentos PDF aparentemente inocuos y aplicaciones de escáner de códigos QR que se distribuyen a través de la tienda oficial de Google Play en lugar de tiendas de aplicaciones de terceros o a través de sitios web fraudulentos. .
Estas aplicaciones, también conocidas como aplicaciones cuentagotas, actúan como un conducto para entregar una carga útil de segunda etapa que recupera la variedad de malware para tomar el control de los dispositivos infectados. En noviembre de 2021, la empresa de seguridad holandesa ThreatFabric reveló que había identificado seis cuentagotas de Anatsa en Play Store desde junio del año pasado.
Luego, a principios de enero, los investigadores de Bitdefender identificaron a TeaBot acechando en el mercado oficial de aplicaciones de Android como una “aplicación de lector de códigos QR – Escáner”, obteniendo más de 100 000 descargas en un lapso de un mes antes de que fuera eliminada.
La última versión del gotero TeaBot detectada por Cleafy el 21 de febrero de 2022 también es una aplicación de lector de códigos QR llamada “Código QR y código de barras – Escáner” que se ha descargado aproximadamente 10 000 veces desde Play Store.
Una vez instalado, el modus operandi es el mismo: solicitar a los usuarios que acepten una actualización de complemento falsa que, a su vez, lleva a la instalación de una segunda aplicación alojada en GitHub que en realidad contiene el malware TeaBot. Sin embargo, vale la pena señalar que los usuarios deben permitir instalaciones de fuentes desconocidas para que esta cadena de ataque tenga éxito.
La última fase de la infección involucra al troyano bancario que busca permisos de Servicios de Accesibilidad para capturar información confidencial como credenciales de inicio de sesión y códigos de autenticación de dos factores con el objetivo de apoderarse de las cuentas para llevar a cabo fraudes en el dispositivo.
“En menos de un año, la cantidad de aplicaciones a las que apunta TeaBot ha crecido más del 500 %, pasando de 60 objetivos a más de 400”, dijeron los investigadores, y agregaron que el malware ahora afecta a varias aplicaciones relacionadas con la banca personal, los seguros y las billeteras criptográficas. y los intercambios criptográficos.