Malware, Noticias

TeaBot se propaga a través de Google Play, nuevamente

marzo 3, 2022
TeaBot en llamas en Google Play Store, una vez más. Desde su aparición en 2021, el malware ha pasado por varias actualizaciones para infiltrarse en más objetivos y expandir su superficie de ataque. Una investigación de Cleafy reveló al troyano disfrazado como una aplicación de código QR en Google Play Store, que ya se ha […]

TeaBot en llamas en Google Play Store, una vez más. Desde su aparición en 2021, el malware ha pasado por varias actualizaciones para infiltrarse en más objetivos y expandir su superficie de ataque.

Una investigación de Cleafy reveló al troyano disfrazado como una aplicación de código QR en Google Play Store, que ya se ha extendido a más de 10.000 dispositivos.

Esta no es la primera vez que TeaBot se propaga a través de Play Store. Los operadores siguieron el mismo truco en enero y, aunque Google eliminó todas las aplicaciones maliciosas, el bot encontró el camino de regreso.

Las aplicaciones actúan como cuentagotas y se envían sin código malicioso. Además, solicitan permisos mínimos a los usuarios, lo que dificulta que los revisores de Google los consideren dudosos. Además, incluyen la funcionalidad que prometen, lo que genera comentarios positivos en Play Store.

TeaBot se hizo pasar por QR Code & Barcode – Scanner, una aplicación de escaneo QR legítima.

Sin embargo, tras la instalación, pide a los usuarios que actualicen la aplicación desde una fuente externa. La fuente de descarga se remonta a dos repositorios de GitHub.

Después de esta actualización, la aplicación cambia su nombre a QR Code Scanner: Add-On. Esta nueva aplicación solicita permisos a los Servicios de Accesibilidad.

Algunas funcionalidades son tomar capturas de pantalla, ver la pantalla del usuario y capturar las credenciales de inicio de sesión, 2FA y contenido de SMS.

Si bien fue nuevamente detectado, cada vez es más difícil detectar aplicaciones falsas que contienen software malicioso, por lo que se insta a los usuarios a ser muy precavidos y revisar solo fuentes oficiales.

googlemalwareplayteabot

Comparte este Artículo

Artículos relacionados

Brechas de datos, Noticias, Ransomware
El grupo sudamericano Lapsus$ robó datos de NVIDIA con ataque de ransomware
 3 de marzo de 2022

De acuerdo a información entregada por la empresa, el grupo sudamericano de piratas informáticos Lapsus$, habría estado detrás de un reciente ciberataque a Nvidia.
Brechas de datos, Malware, Noticias
Se encontró malware en certificados de firma de código robados de NVIDIA
 7 de marzo de 2022

Los actores de amenazas están utilizando certificados de firma de código de NVIDIA robados para firmar malware y así parecer confiables y permitir que se carguen controladores maliciosos en Windows.