Esta app de la Play Store prometía leer códigos QR. Era un peligroso malware bancario para Android

Uno de los principales consejos para evitar el malware en dispositivos Android es evitar la descarga de aplicaciones de orígenes desconocidos o tiendas alternativas. Sin embargo, las amenazas de seguridad también pueden proliferar a través de tiendas oficiales. Un ejemplo reciente de esto es el troyano TeaBot, que fue descargado más de 10.000 veces de Play Store.

No es la primera vez que oímos hablar de este malware bancario y, posiblemente, tampoco será la última. El año pasado llegaba a los usuarios a través de un SMS fraudulento mediante el cual los engañaba para que instalen una aplicación por fuera de Play Store. Ahora, en cambio, ha evolucionado para eludir los controles de Google y colarse en la tienda de aplicaciones oficial.

TeaBot se camufla en un lector de códigos QR
La firma de ciberseguridad Cleafy explica que el TeaBot se estuvo propagando a través de una aplicación llamada QR Code & Barcode Scanner. Al igual que muchas otras aplicaciones con malware, esta ofrecía una funcionalidad real de lectura de códigos QR y códigos de barra, por lo que muchos usuarios dejaban calificaciones positivas y otros seguían descargándola.

Cuando QR Code & Barcode Scanner se abría por primera vez pedía a los usuarios permiso para actualizarse. Si el permiso era concedido, en lugar de descargar una actualización a través de Play Store, como es lo normal en estos casos, se conectaba a repositorios específicos de GitHub donde obtenía el código malicioso y así podía eludir los controles previos de Play Store.

El paso siguiente en la cadena de infección era solicitar a los usuarios permisos para utilizar los servicios de accesibilidad. Con esto, la aplicación maliciosa podía controlar y leer todo lo que se reproducía en la pantalla, como información confidencial, credenciales de inicio de sesión, códigos de verificación en dos pasos, SMS de confirmación bancaria y demás.

La característica más peligrosa de este malware es que estaba programado para ejecutar fraudes en aplicaciones de bancos europeos, entre los que se encuentran españoles e italianos. Y el número iba en aumento. "En menos de un año, el número de aplicaciones objetivo de TeaBot ha crecido más del 500%, pasando de 60 objetivos a más de 400", afirman desde Cleafy.

Afortunadamente, la aplicación maliciosa QR Code & Barcode Scanner ha sido retirada por Google de Play Store luego de la denuncia de la compañía de ciberseguridad. No obstante, esto no quita que siga dando vueltas por tiendas alternativas o que los mismos atacantes —u otros— utilicen técnicas similares para cosechar nuevas víctimas con otras aplicaciones dentro de la tienda oficial de Android.