Esta app prometía leer códigos QR y en realidad era un troyano
Siempre que hablamos de un malware para Android hacemos la misma recomendación. Lo más recomendable siempre es descargar las aplicaciones desde el bazar Google Play, ya que sus métodos de control para evitar que se cuelen aplicaciones maliciosas son muy efectivos. Decimos muy efectivos, pero no 100% efectivos, por lo que en ocasiones tenemos que hablaros de la excepción que confirma la regla. Un peligroso malware que se ha colado en Google Play y que estaba camuflado como un “inofensivo” lector de códigos QR.
Ha sido la firma especializada en ciberseguridad, Cleafy, la que ha alertado de este peligroso software que ha conseguido burlar la seguridad de Google Play. Esto le ha permitido ser descargado más de 10.000 veces en el bazar de Android. Lo habitual es que estas infecciones lleguen desde otras fuentes como un SMS fraudulento, cuyo enlace sugiere la descarga de una aplicación infectada. En esta ocasión no ha sido así ya que se ha colado en Google Play como si de una aplicación normal y corriente se tratase.
La estrategia del malware
Este malware, denominado TeaBot, se camufla como un lector de códigos QR. No es casualidad que se haya elegido una app similar, ya que en los últimos tiempos, estas herramientas han aumentando mucho su popularidad debido a la necesidad de leer este tipo de códigos en comercios y servicios de todo el mundo, debido a la pandemia del Covid-19. La aplicación se llamaba QR Code & Barcode Scanner, que contenía varios nombres clave para facilitar su aparición en las búsquedas. A diferencia de otras app fake con malware, esta en concreto sí ofrecía la herramienta prometida, por lo que la valoración de la app era buena en la mayoría de los casos.
El problema venía cuando la app solicitaba permiso para actualizarse. En lugar de hacerlo mediante Google Play, pedía a los usuarios que se dirigieran a un enlace externo, es decir, un repositorio no seguro donde la supuesta actualización era en realidad un software diferente infectado por malware. Posteriormente y ya con la app maliciosa instalada en el terminal, los usuarios debían aceptar una serie de nuevos permisos como controlar y leer todo lo que se reproducía en la pantalla, información confidencial, credenciales de inicio de sesión, códigos de verificación en dos pasos, SMS de confirmación bancaria y otras.., Los usuarios que aceptaban esto sin sospechar o plantearse por qué, quedaban totalmente expuestos.
El objetivo final del malware era acceder a las credenciales bancarias de las víctimas para preparar transacciones no autorizadas y vaciar sus cuentas. La firma de seguridad que ha alertado del peligro afirma que en menos de un año, el número de aplicaciones objetivo de TeaBot ha crecido más del 500%, pasando de 60 objetivos a más de 400. Como suele ocurrir en estos casos, la app ya ha sido retirada de Google Play, pero lo que no puede estimarse en estos momentos es cuántas apps que usen la misma estrategia pueden estar poblando Google Play.