La firma de seguridad Cleafy descubrió en enero de este año un troyano en fase de desarrollo que tenía la capacidad de extraer los datos bancarios de la víctima para posteriormente realizar transacciones sin su consentimiento. Este malware fue descubierto en Italia, pero se ha extendido a varios países de Europa.

El equipo de Inteligencia de Amenazas y Respuesta a Incidentes de Cleafy nombró a este troyano como TeaBot, pues aseguran que no está relacionado con ninguna familia troyana bancaria conocida.

Un malware peligroso que puede esconderse de Google Play Protect

Una de las cosas que tiene preocupados a los investigadores es que TeaBot es capaz de “esconderse” del escáner que realiza Google Play Protect en los teléfonos Android certificados para alertar a los usuarios de su peligro, por lo que mucha gente puede ser una víctima sin saber que en realidad están robando sus datos.

TeaBot se hace pasar por una aplicación falsa que se debe instalar fuera de la Play Store. Según los investigadores, una de las maneras más comunes de instalar el malware en el teléfono es con un mensaje de texto que indica al usuario que su paquete va en camino, por lo que les pide descargar una app para rastrearlo, sin embargo, esta aplicación con malware se hace pasar por servicios de mensajería como UPS o DHL.

Una vez que el usuario instaló la aplicación se solicitan permisos de accesibilidad que permitirán a los atacantes obtener una transmisión en vivo de la pantalla del usuario y así obtener acceso a los SMS de la víctima para obtener los datos de inicio de sesión de los usuarios y las claves de autenticación que llegan por SMS para entrar a diferentes servicios de banca en línea. De igual manera, el troyano puede robar los códigos de verificación de seguridad de Google Authenticator.

Cleafy menciona que el 29 de marzo de 2021 detectaron robo de datos de usuarios de bancos italianos, mientras que en mayo encontraron evidencia del malware contra usuarios de bancos en Bélgica y Países Bajos.

Por otro lado, el malware también tiene la capacidad de esconder los SMS de los usuarios para que no tengan conocimiento del inicio de sesión con sus datos en nuevos dispositivos.

La recomendación para los usuarios es no instalar aplicaciones fuera de la Play Store, y mucho menos hacerlo de cualquier SMS que incite a esta actividad.

En caso de encontrar movimientos bancarios no autorizados y sospechosos lo ideal es solicitar el cambio de claves de acceso y formatear el dispositivo móvil a su configuración de fábrica.

Hasta el momento los principales afectados de Europa se encuentran en España, mientras que Alemania, Italia, Bélgica y Países Bajos encabezan la lista.