El malware TeaBot dice a las víctimas que tienen que hacer clic en un enlace porque el teléfono está dañado con un virus, y las infecta a través del enlace.
Los ciberdelincuentes están utilizando versiones falsas de aplicaciones populares de Android para infectar a las víctimas con troyanos maliciosos, que sólo se instalan después de que el usuario descargue un falso bloqueador de anuncios.
TeaBot -también conocido como Anatsa- es capaz de tomar el control remoto total de los dispositivos Android, lo que permite a los ciberdelincuentes robar datos bancarios y otra información sensible con la ayuda del keylogging y el robo de códigos de autenticación.
El malware apareció por primera vez en diciembre de 2020, y la campaña sigue activa. Los autores de TeaBot intentan engañar a las víctimas para que descarguen el malware disfrazándolo de versiones falsas de aplicaciones populares, cuyas versiones reales suelen haberse descargado millones de veces.
Tal y como detallan los investigadores de ciberseguridad de Bitdefender aquí, se trata de versiones falsas de aplicaciones para Android, como aplicaciones antivirus, el reproductor multimedia de código abierto VLC, reproductores de audiolibros y otras. La versión maliciosa de las aplicaciones utiliza nombres y logotipos ligeramente diferentes a los reales.
Las aplicaciones maliciosas no se distribuyen a través de la tienda oficial Google Play Store, sino que se alojan en sitios web de terceros, aunque muchas de las formas en que los usuarios son dirigidos a ellas siguen siendo un misterio para los investigadores.
Una de las formas de conducir a las víctimas hacia las aplicaciones maliciosas es a través de una aplicación falsa de bloqueo de anuncios que actúa como un gotero, aunque se desconoce cómo se dirige a las víctimas hacia el bloqueador de anuncios en primer lugar.
TeaBot parece concentrar gran parte de sus objetivos en Europa Occidental, siendo España e Italia los puntos calientes de las infecciones, aunque los usuarios del Reino Unido, Francia, Bélgica, los Países Bajos y Austria también son objetivos frecuentes.
La campaña sigue activa y, aunque muchos de los métodos de distribución fuera del falso Ad Blocker siguen siendo desconocidos, hay precauciones que los usuarios pueden tomar para evitar ser víctimas.
Con información de: ZDNet.