El troyano de acceso remoto TeaBot (RAT) se ha actualizado, lo que ha dado lugar a un gran aumento tanto en los objetivos como en la propagación en todo el mundo.
El 1 de marzo, el equipo de investigación de Cleafy dijo que TeaBot ahora apunta a más de 400 aplicaciones, pasando de un enfoque anterior de «smishing» a tácticas más avanzadas.
Los ataques de smishing se utilizan para comprometer los teléfonos móviles a través de mensajes de texto no deseados que contienen enlaces maliciosos. Suele ocurrir que estos enlaces, que pretenden ser de su banco, red social o empresa de entrega, por ejemplo, llevarán a las víctimas a sitios web fraudulentos que solicitan sus datos personales y credenciales de cuenta.
Cuando surgió TeaBot a principios de 2021, el malware, también conocido como Toddler/Anatsa, se distribuía a través de smishing y tenía una lista de solo 60 señuelos, incluidos TeaTV, VLC Media Player, DHL y UPS.
Una investigación adicional realizada por PRODAFT en julio de 2021 descubrió que, si bien TeaBot se había configurado para atacar a «docenas» de bancos europeos, los ataques exitosos se rastrearon hasta 18 organizaciones financieras.
En ese momento, el 90 % de las infecciones de TeaBot estaban conectadas con solo cinco de estas empresas, lo que llevó a los investigadores a sospechar que la responsable era una exitosa campaña de phishing basada en SMS.
TeaBot ha migrado de Europa para incluir nuevos países, como Rusia, EE. UU. y Hong Kong, y está utilizando una lista de objetivos ampliada más allá de los servicios en línea: los bancos, los intercambios de criptomonedas y los proveedores de seguros digitales ahora también están siendo suplantados en intentos de phishing. .
La firma de gestión de riesgos Cleafy dice que el malware también logró infiltrarse en los repositorios oficiales de Android a través de aplicaciones cuentagotas.
En muestras obtenidas en febrero por la empresa, se descubrió que una aplicación publicada en Google Play, «QR Code & Barcode Scanner» servía TeaBot a los usuarios a través de una actualización falsa.
Los desarrolladores de malware tienen una táctica común: publicar una aplicación legítima en un repositorio oficial de aplicaciones, borrar las comprobaciones de seguridad existentes y luego, una vez que se haya establecido una gran base de usuarios (en este caso, más de 10 000 personas), implementar una actualización que convierte el software en malicioso.
En el caso de TeaBot, la actualización/cuentagotas falsos solicitará permiso para descargar una segunda aplicación, «Escáner de código QR: complemento», que contiene la RAT.
Esta aplicación se descarga de uno de los dos repositorios de GitHub propiedad del mismo desarrollador.
Una vez instalado, TeaBot primero abusará de los servicios de accesibilidad del sistema operativo Android, solicitando permisos que permitan que el malware realice actividades, incluido el registro de teclas y el secuestro de dispositivos remotos.
Además, TeaBot tomará capturas de pantalla y monitoreará la pantalla del teléfono para robar credenciales, incluida la información de la cuenta y los códigos de autenticación de dos factores (2FA).
«Dado que la aplicación cuentagotas distribuida en la tienda oficial de Google Play solicita solo unos pocos permisos y la aplicación maliciosa se descarga más tarde, puede confundirse entre las aplicaciones legítimas y es casi indetectable para las soluciones AV comunes», advierte Cleafy. .
MarketingyPublicidad.es se comunicó con Google y lo actualizaremos cuando recibamos una respuesta.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
